发布安全的Web站点
发布安全的
Web
站点
安全Web站点在很多领域上由于它的高安全性而受到广泛应用,由于安全Web站点对HTTP数据进行了加密,ISA需要对数据内容进行分析;而ISA2006在发布安全站点时都是采用“桥接”模式,这种模式可以让ISA对外网的发来的加密数据先进行解密,然后过滤检查,发来的数据被证实没问题了才会被重新加密送往内网的Web服务器。
而ISA2006之前的版本无法使得防火墙无法对数据内容进行分析,也没办法判断这些数据是否安全。当防火墙遇到这种情况,往往就采用“隧道”模式,“隧道”模式让外网的访问请求直接通过防火墙抵达内网的安全站点,透明通过。显然,桥接模式比隧道模式更能发挥防火墙的功效,对网站的安全更为有利。
此试验拓扑如图所示:florence是域控制器、DNS服务器、CA服务器,perth是要发布的安全Web站点,Berlin还是ISA防火墙,Istanbul是外网的一台计算机
一、创建证书颁发机构
在florence上打开控制面板-----添加删除组建-----钩选“证书服务”,创建一个“企业根CA”,CA的公用名称“itetca”,搭建证书服务器很简单,具体不再阐述。
创建完之后,我们需要在Web服务器和ISA上刷新一下组策略,让他们在最短时间内信任这个证书颁发机构,当然在生产环境下就没必要了
右键IE属性-----内容----证书,如图所示:已成功信任
企业内的计算机已经信任了证书颁发机构,怎们让外网的Istanbul也信任呢?很简单,①可以先把florence上的网站发布出去,然后在访问 http://florence.isa.com/certsrv 下载证书,再将证书导入到证书颁发机构;②还可以在证书颁发机构上将我们创建的企业根证书导出,然后再导入到外网计算机上,当然在生产环境下这种方法不理想;但在试验环境下可以考虑使用,此试验我们就采取这种方法。如图所示:
点击“下一步”
选择导出文件的格式
选择“导出的文件”存放的位置
点击“确定”导出成功
将证书传到Istanbul上
在Istanbul上右键IE属性----内容----证书,如图所示:点击“导入”
进入证书导入向导,点击“下一步”
选择要导入的证书
将证书到“受信任的根证书颁发机构”
导入向导完成
点击“确定”导入成功
如图所示:受信任的根证书导入成功
二、安全
Web
站点申请证书
打开IIS管理器----右键“默认网站”属性,申请证书。
切换到“目录安全性”,点击“服务器证书”申请服务器证书
点击“下一步”
新建一个证书
选择“立即将证书请求发送到联机证书颁发机构”,实际工作中应该选择“现在准备证书请求,但稍后发送”
输入新证书的名称,易于引用和记忆即可,此试验采取默认设置
填写“单位信息”
填写“公用名称”,慎重填写,公用名称一定要和外网用户访问该安全网站是的域名一致
填写地理信息
为此网站指定端口
选择证书颁发机构
检查提交的信息,无误点击“下一步”
完成Web服务器证书向导
点击“查看证书”可以看到perth申请的服务器证书
三、将
perth
的服务器证书导出并导入到
ISA
上
打开“运行”----输入“MMC”打开控制台----添加“证书”,如图所示:将证书到出
点击“下一步”
连同私钥一起导出
启用加强保护
填写“密码”用来保护私钥
选择将证书导出到什么位置,必须以“.pfx”扩展名结尾。
点击“确定”导出成功
如图所示:可以看到我们导出的证书perth.pfx
四、
ISA
将证书导入
将perth上的证书拷贝到Berlin(ISA)上,双击此证书进入证书导入向导
选择要导入的证书
输入我们刚刚为保护私钥创建的密码
选择证书存储位置,我们将它导入到“个人存储”中
证书导入完成
如图所示:导入成功
五、发布安全的
Web
站点
如图所示:新建一个“网站发布规则”
填写规则名称
规则操作“允许”
发布类型:“发布单个网站或负载平衡器”
选择使用SSL连接到发布的Web服务器或服务器场
内部站点的名称为perth.isa.com,注意,内部站点的名称应该和安全站点证书中的公用名称完全一致,否则会导致发布失败;计算机名称或IP地址可写可不写。
发布整个网站的内容
安全站点的公共名称应该和证书中的公用名称完全一致
我们没有侦听443端口的侦听器,新建一个web侦听器
填写Web侦听器名称
需要与客户端建立SSL安全连接
此Web侦听器用来侦听外网
选择侦听器使用的证书,此时应该选择perth的证书,当外网用户要访问perth时,ISA可以出示该证书证明自己的就是你要访问的目标
不需要身份验证,发布安全Web站点不需要身份验证,并非发布其他服务器时也不需要身份验证
不设置单一登陆
侦听器创建完成
添加“侦听443端口”的侦听器
安全Web站点没有委派ISA对客户端进行身份验证
应用到所有用户
发布完成
六、测试
来到外网Istanbul上,在浏览器上输入 https://www.perth.com ,如图所示:提示“即将通过安全连接查看网页”,点击“确定”
点击“是”
如图所示:可以正常访问
使用http连接如图所示:网页打开失败。
