利用ISA防火墙发布企业安全的网站服务器

 

我们使用http来访问网站，现在我们不允许使用 http 来访问了，要求使用 [url]https://www.itet.cn[/url] 来访问，要求内网用户的意义不大，主要要求的是外网用户。

 

思路：用户在家里通过客户端来访问购物网当当网的服务器，当用户输入卡号以及密码的时候，当当网会查看卡为有效卡。此时数据均为明文传输。

现在 我们在中间加一个防火墙

1， 首先，客户端请求与当当网连接

2， 当当网将公钥传给客户端

3， 客户端用当当网的公钥加密

4， 将加密后的信息传给当当网

我们需要将当当网发布到防火墙外网上，整个实验也就是说，内网存在一个 https 网站，我们要把它发布出来。

我们需要证书 2 个，网站证书与 CA 证书

https 称为 SSL 安全套接层，用的是 443 端口

实验拓扑图如下：

实验步骤

第一步：在 PERTH 上搭建 SSL 网站

第二步：将网站的证书，导到 ISA （ Florence ）上

第三步：将 CA 的证书导到 ISA 上

第四步：发布 https

第五步：客户端测试（客户端测试的时候，将 CA 证书导到客户端，这个步骤应该是用代码实现的，不应该客户端自己做，应该是有个链接的，可以自动安装的）

注意：实验步骤的顺序是不能错的！

 CA 与防火墙是有冲突的，所以先要卸掉防火墙

第一步 ：在 perth 上要有一个 CA 服务器

        开始 ---- 设置 ---- 控制面板 ---- 添加删除程序 ---- 添加删除 windows 组件 ----证书服务----是----下一步----下一步----是

CA 是依附于默认网站的，所以启动默认网站，此时会发现多一个 Certsrv 文件

我们现在开始搭建 SSL

itet 网站 ---- 右击 ---- 属性 --- 目录安全性 ---- 服务器证书 ---- 新建证书 ---- 现在

备书请求 ---- 下一步 ---- 名称无所谓下一步 ---- 单位 itet 部门 network---- 公

用名称（客户端怎么访问就怎么写，注意不能错） [url]www.itet.cn----[/url] 下一步

---- 国家 CN 中国 省 bj 市 bj---- 下一步 ---- 生成的基本信息 ---- 下一步 ----

完成 ---- 确定

在 IE 输入 [url]http://10.10.10.2/certsrv----[/url] 申请一个证书 ---- 使用 base64 编 码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。 ---- 找到 C 盘根目录下的 certreq.txt 复制粘贴 ---- 提交 ---- 您申请的 ID 为 2  

开始 ---- 程序 ---- 管理工具 ---- 证书颁发机构 ---- 挂起的申请 ---- 右击 ---- 所有 任务颁发 IE 输入 10.10.10 .2/certsrv

查看挂起的证书申请状态 --- 保存的申请证书 --- 下载证书 -- 保存到 C 盘根目录

在 IIS 上， itet 右击 ---- 属性 --- 目录安全性 ---- 服务器证书 --- 下一步 ---- 处理 挂起的请求并安装证书 ---- 下一步 ----c:\certnew.cer---- 下一步 ----443 端口 ---- 下一步 ---- 下一步 ---- 完成

在 IE 输入 [url]https://www.itet.cn[/url], 没有出来，需要修改 hosts 文件，加入

10.10.10.2        [url]www.itet.cn[/url] 出现了小锁，即可靠的 SSL 。

第二步： 导出网站的证书

  Perth 上： IIS----itet 右击 ---- 属性 ---- 目录安全性 - --- 服务器证书 ---- 将当前证书导出到一个 .pfx 文件 ---- 下一步 ----C 盘根目录 ---- 下一步 ---- 密码 123---- 下一步 ---- 下一步 ---- 完成 ---- 确定

 

Florence 上运行 ---- \\10.10.10.2\c$ 输入用户名和密码，将导出的问件复制到 ISA 上，复制到 C 盘根目录上

第三步 ： ISA 要导入这个文件

    运行 ---mmc( 微软的管理控制平台 ) --- 文件 --- 添加删除管理单元 --- 添加证书 --- 添加 --- 计算机帐户 --- 下一步 --- 本地计算机 --- 完成 --- 关闭 --- 确定

个人 --- 右击 --- 所有任务 --- 导入 --- 下一步 --- 选择 .pfx 文件 --- 下一步 --- 密码 123

--- 下一步 --- 将所有证书放入下列存储 -  个人 --- 下一步 --- 下一步 --- 导入成功

受信任的根证书颁发里面没有 wangchunyanCA, 而 Florence 访问 10.10.10 .2/certsrv 也访问不了，需要做一个访问规则

 

防火墙策略 ---- 新建访问规则 --- 名称： ISA 可以访问内网 ---- 下一步 ---- 允许 ----

所有出站通讯 ---- 下一步 ---- 访问规则源 本地主机 ---- 访问规则目标 内部 ----

下一步 ---- 所有用户 ---- 下一步 ---- 完成 ---- 应用

此时 IE 输入 10.10.10 .2/certsrv 可以访问成功了

 

下载一个 CA 证书 ---- 下载 CA 证书 ------ 保存到 C 盘根目录（可以加个后缀来区分） ---- 保存

导入一次：受信任的根证书颁发下面的证书 ---- 所有任务 ---- 导入 ---- 刚才下载并保存到 C 盘根目录的那个证书 ---- 打开 ---- 下一步 ---- 受信任的根证书颁发机构 ---- 下一步 ---- 完成 ---- 导入成功

 

 

 

 

 

第四步： 发布

   做一个发布规则

 

防火墙策略 ---- 新建 ---- 安全 WEB 服务器发布规则 ---- 名称：发布 perth 上的 https---- 下一步 ----SSL 桥 ---- 下一步 ---- 允许 ---- 下一步 ---- 加密到客户端和 WEB 服务器的连接 ---- 下一步 ---- 计算机名或 IP 地址 [url]www.itet.cn[/url]( 做到这一步要保证 ping [url]www.itet.cn[/url] 解析为 10.10.10 .2 ，如果没有，那么修改 hosts 文件，加入 10.10.10.2 [url]www.itet.cn[/url] 即可） “√”转发原始主机头而不是上面的值，路径 /*---- 下一步 ---- 公用名称 [url]www.itet.cn----[/url] 下一步 ----WEB 侦听器 ---- 新建一个 listen 443---- 下一步 ---- 外部 ---- 下一步 ---- 启用 SSL443 证书选择 ---- 确定 ---- 完成 ---- 下一步 ---- 所有用户 ---- 完成 ---- 应用

 

 

第五步： 客户端测试

将 Florence 上的证书 certsrv 复制到 Berlin 上一份（经过物理机空投）

Berlin 也要导入：运行 ----mmc---- 文件 ---- 添加删除管理单元 ---- 添加 ---- 证书 ---- 添加 ---- 计算机帐户 ---- 下一步 ---- 本地计算机 ---- 完成 ---- 关闭 ---- 确定

受信任的根证书的颁发机构下面的证书 ---- 右击 ---- 所有任务 ---- 导入 ---- 选择 C ： \---- 下一步 ---- 完成 ---- 确定

IE 输入 [url]https://www.itet.cn[/url] 出来了，成功

本文出自 “Beastears” 博客，转载请与作者联系！