Windows服务器Forefront TMG部署SSL证书

原文阅读：Windows服务器Forefront TMG部署SSL证书

微软Forefront TMG是一个高级状态检测以及应用层检测防火墙，同时还包括VPN以及Web缓存，这样一款在历史潮流中消逝的产品目前还有很多企业用户使用，本文介绍TMG中如何部署SSL和443端口映射。

首先，假定我们的WEB应用服务器或虚拟机位于网关服务器/物理机Forefront TMG（以下简称TMG）之后，访问虚拟机中的WEB应用是经过网关服务器转发来访问，WEB应用服务器和TMG之间可以使用http通信，也可以使用https通信；互联网通过https协议方式访问TMG，而不是直接访问WEB应用服务器，故我们真正要部署SSL数字证书是在TMG中部署。

第一部分：申请SSL数字证书并导出pfx证书

可在任意一台有IIS的服务器上制作CSR证书请求文件/创建证书申请和完成证书申请，具体参考：IIS8.x中安装证书及常见错误

这里要注意以下几点：

1. 不给所在机器上绑定443端口和证书
2. 按照IIS8.x中安装证书及常见错误中方法“创建证书申请” - “完成证书申请”顺序将CA签发的证书安装至这台服务器的证书列表中
3. 使用恢复IIS安装证书过程中丢失的私钥中的方法将私钥恢复，IIS证书列表刷新就不见了，而且TMG也会不认可这个证书

最终在这台服务器的IIS中我们并不需要对网站进行绑定，而是将此证书导出为pfx备份证书（包含私钥），双击这个证书，在详细信息中点击“复制到文件”，进行导出，并记住备份密码。

第二部分：在TMG所在服务器中导入证书

将第一部分中服务器导出的pfx证书，导入到TMG所在服务器。
使用命令mmc - 添加单元 - 证书 - 所有计算机用户 来管理导入计算机的个人证书：

在个人 - 证书右点空白处 - 所有任务 - 导入证书，导入证书时选择第一部分的pfx证书。在此过程会要求输入备份密码。

这样我们就将最终证书真正意义上导入到TMG所在服务器中了。

第三部分：使用TMG发布站点

打开TMG，在防火墙策略中可以看到下图界面。

点击工具箱 - 网络对象  - WEB 侦听器，右击Web 仙听器，新建WEB侦听器，

然后输入任意名称，仅做标识用途。

因为我们这里要部署SSL数字证书，所以我们选择“需要与客户端建立SSL安全链接”。如果此处选择此项的话，在新建过程中会要求选择SSL数字证书，如果想在后面自行修改，可选择“不需要与客户端建立SSL安全链接”。

选择“外部”选项所有IP地址，表示不限制IP地址。

选择第二部分导入的证书，如果导入证书不合法（例如不含私钥），那么这一步将进行不了。

依次默认下一步到最后“完成新建Web侦听器向导”。

第四部分：部署SSL数字证书

此处接第二部分，我们在第二部分选择“不需要与客户端建立SSL安全链接”，在此配置SSL数字证书

右击我们创建好的非https版Web侦听器 - 属性，可以看到下图内容。

点击“连接”选项卡，设置80，443端口以及可能需要的重定向，这里等同于IIS的重定向。

切换到“证书”选项卡选择第二部分导入的证书，同样如果证书不合法（不含私钥），将无法选择。

最后应用、确定成功之后，需要给TMG点击应用刚才以上的设置。

这个过程很快完成，这样我们就完成了TMG上的证书部署

第五部分：端口映射

这时候，就算我们户用了应用服务器（内网）的IIS，然后我们访问该应用服务器的80,443端口可能都无法访问。

• 首先我们要检查防火墙的入站规则

  所有可能的防火墙规则都要进行检查，详情查看：IIS配置证书端口443无法访问

• 其次我们要检查端口是否映射

  类似应用防火墙或者物理机到虚拟机，都是要通过端口映射，在没有路由修改的条件下，可参考：Windows服务器中命令行添加端口映射。

到此，我们基于TMG的创建及维护SSL证书就完成了。

相关文章

• Windows服务器中命令行添加端口映射
• IIS8.x中安装证书及常见错误