妙用通配符证书发布多个安全站点

在上一篇博文中，我们介绍了如何利用 ISA2006 发布内网的安全 Web 站点，想必大家已经能用 ISA 在内网中发布一个安全站点了。今天我们把难度加大一些，要求在内网发布多个安全站点时。有的朋友可能一听到这儿就很不以为然，发布多个 Web 站点是很简单的事情嘛，干嘛搞得神秘兮兮的。注意，我们要发布的不是 Web 站点，而是安全 Web 站点！发布安全 Web 站点时侦听器需要用证书向访问者提供身份证明，问题就在这里，当发布多个安全 Web 站点时，侦听器上到底应该使用什么样的证书呢？
例如在下图的拓扑中，我们要在 ISA 上发布两个安全 Web 站点，一个是 Denver 上的 denver.contoso.com ，另一个是 Perth 上的 perth.contoso.com 。我们在 ISA 侦听器上使用的证书，既要能向访问者证明自己是 denver.contoso.com ，又要能证明自己是 perth.contoso.com 。什么样的证书才能满足这样的要求呢？通配符证书！ 通配符证书利用通配符的模糊匹配特性可以和多个 Web 站点匹配，例如 *.contoso.com 就能同时匹配 denver.contoso.com 和 perth.contoso.com 。因此，我们只要在侦听器中使用通配符证书，再针对每个安全 Weh 站点创建相应的发布规则，发布多个安全 Web 站点的问题就解决了。
 
一 申请通配符证书
我们仍然利用上篇博文中的实验环境，由于 ISA 服务器加入了域，我们可以在 ISA 服务器上直接申请通配符证书，在 ISA 服务器上用浏览器访问 [url]http://denver/certsrv[/url] ，如下图所示，选择“申请一个证书”。
 
选择“提交一个高级证书申请”，准备申请服务器证书。
 
选择“创建并向此 CA 提交一个申请”，准备手工输入证书参数。
 
申请证书时，如下图所示，模板选择“ Web 服务器”，姓名填写“ *.contoso.com ” ，勾选“将证书保存在本机计算机存储中”。注意，姓名是关键参数。
 
由于 CA 服务器的类型是企业根，因此申请的证书被自动颁发了，如下图所示，我们选择“安装此证书”。
 
安装完证书后，如下图所示，我们在 ISA 的计算机存储中已经看到了颁发的通配符证书。
 
二 修改 Web 侦听器
如下图所示。在上篇博文中我们发布了 perth 上的安全 Web 站点， Web 侦听器使用的证书也是由 perth 导出的，现在我们要修改 Web 侦听器使用的证书，让侦听器使用通配符证书。
 

如下图所示，在防火墙策略工具箱中找到 Web 侦听器“ Listen 443 ”，双击侦听器。
 

在侦听器属性中切换到“证书”标签，如下图所示，现在侦听器上使用的证书是 perth.contoso.com ，点击“选择证书”。
 
如下图所示，选择使用 *.contoso.com 的通配符证书。
 
OK ， Web 侦听器修改完成。
 

三 修改发布规则
现在 ISA 服务器中有一条发布规则用来发布 Perth 上的安全站点，这条发布规则的 Web 侦听器使用了通配符证书，我们利用这条规则复制出一条新的发布规则，再稍加修改就可以用于发布 Denver 上的安全站点了。如下图所示，右键点击防火墙策略，选择“复制”。
 

复制完规则后，选择“粘贴”。
 
如下图所示，复制后的规则如下图所示，我们编辑发布规则“ pub perth ssl website （ 1 ）”。
 
在发布规则属性中切换到“常规”标签，将名称改为“ pub denver ssl website ”。
 
切换至发布规则的“到”标签，在发布站点处填写“ denver.contoso.com ”。
 
切换到发布规则的“公共名称”标签，如下图所示，将公共名称从 perth.contoso.com 改为 denver.contoso.com 。
 
修改后的发布规则如下图所示，现在我们有两条发布规则分别用于发布 denver 和 perth 上的安全站点。
 
四 测试
最后，我们在 Istanbul 上进行测试，首先访问 denver 上的安全站点，如下图所示，访问正常。
 
再来访问 perth 上的安全站点，仍然正常， OK ，利用通配符发布多个安全站点成功了！
 
发布多个安全 Web 站点除了使用通配符证书，还可以考虑使用多个 Web 侦听器，每个侦听器守护不同端口，只是这样一来势必访问某些安全站点时就不能在标准的 443 端口了，可能会给访问者带来麻烦。如果 ISA 的外网网卡帮定了多个 IP ，也可以在每个 IP 上绑定不同的证书。总之，希望大家在发布多个安全发布站点时，因地制宜，找出最适合自己的解决方法。

本文来自CSDN博客，转载请标明出处： http://blog.csdn.net/yefengmeander/archive/2010/04/15/5488381.aspx