用ISA發布安全Web站點

到目前為止，我們已經對ISA發布Web站點進行了很多介紹，但還沒有涉及到安全Web站點。其實在很多領域，安全Web站點都由于高安全性而受到廣泛應用，例如在電子商務，電子郵件，OA等應用中基本都會使用安全站點來加強對數據的保護。既然安全站點如此重要，今天我們就來討論一下如何用ISA2006來發布安全Web站點。 用ISA2006發布安全站點并不是一件困難的事，相反，ISA2006為管理員發布安全站點提供了靈活且強大的技術支持。以往防火墻在發布安全Web站點時，處理方法并不令人滿意。由于安全Web站點對HTTP數據進行了加密，這使得防火墻無法對數據內容進行分析，當然也沒辦法判斷這些數據是否不利于安全。防火墻遇到這種情況，往往就采用“隧道”模式，如下圖所示，“隧道”模式讓外網的訪問請求直接通過防火墻抵達內網的安全站點，防火墻對訪問請求直接放行，透明通過。這種方法自然無法讓管理員滿意，買個防火墻發布網站不就是希望利用防火墻過濾有害數據嘛，現在防火墻讓加密數據透明通過，那防火墻還有什么用呢，不如直接把安全網站放到外網好了。

?

ISA2006對發布安全站點做了很好的改進，ISA2006在發布安全站點時可以采用“橋接”模式，如下圖所示，這種模式可以讓ISA對外網的發來的加密數據先進行解密，然后過濾檢查，發來的數據被證實沒問題了才會被重新加密送往內網的Web服務器。顯然，橋接模式比隧道模式更能發揮防火墻的功效，對網站的安全更為有利。

?

ISA并不是隨隨便便就能啟用橋接模式，發布安全Web站點和發布Web站點有所不同，區別就在于安全Web服務器必須提供證書用于數據加密。在橋接模式下，ISA要對外網發來的加密的數據進行解密，這就要求ISA必須擁有證書及配套私鑰。例如ISA發布的安全站點是perth.contoso.com，那ISA必須擁有名為perth.contoso.com的證書以及配套的私鑰，如果沒有證書，ISA無法對外網的訪問者證明自己就是他們要訪問的perth.contoso.com，如果沒有私鑰，ISA則無法對加密數據進行解密。因此，ISA啟用橋接模式發布安全網站的關鍵就在于如何讓ISA擁有證書以及私鑰，我們解決這個問題的方法是讓安全Web服務器導出證書及私鑰，然后ISA再進行導入操作。

實驗拓撲如下圖所示，Perth是內網要發布的安全站點，Denver是內網的域控制器兼CA服務器，Beijing是ISA2006服務器，我們看看如何用ISA發布安全Web站點。

?

一 創建CA服務器

既然Perth上的Web站點是安全Web站點，那Perth的站點肯定要有證書，誰來發這個證書呢？CA！我們既可以選擇去國際CA公司申請證書，也可以自己創建CA服務器來頒發證書。平時經常有朋友問這個問題：到底應該選擇去國際CA申請證書還是自己創建一個CA來頒發呢？這個問題我覺得應該根據被發布安全站點的用途來決定，如果你發布的安全站點針對的群體是互聯網上的用戶，那我認為還是應該去國際CA申請證書，這樣申請到的證書自動會被所有的用戶所信任，使用起來很方便。否則你自己創建CA頒發證書，但互聯網上其他用戶都不信任，每個用戶都要手工信任你創建的CA，這樣就很麻煩了。當然，去國際CA申請是要付出代價的，一年估計要1W多RMB，這銀子花得很心疼的。如果發布的安全站點主要是給公司員工使用的，那就可以自己創建CA來頒發證書了，因為公司員工人數有限，即使手工信CA任也不用花太多時間。這時自己創建的CA就能體現出使用方便，節省成本的優點了。 回到本例中，我們準備在Denver上創建一個CA服務器，用以在域內為計算機頒發證書。在Denver上依次點擊 開始－設置－控制面板－添加或刪除程序－添加/刪除Windows組件，如下圖所示，勾選“證書服務”，這時會彈出對話框提示你安裝證書服務后不能改變計算機名稱以及身份，選擇“是“按鈕。

?

CA類型設置為企業根，這樣可以更好地利用域的管理優勢。

?

CA命名為TESTCA。

?

證書數據庫的存儲路徑取默認值即可。

?

安裝程序提示需要重啟IIS服務，在插入Win2003的安裝光盤后，如下圖所示，安裝結束。

?

創建完CA服務器后，這個服務器必須得到其他計算機的認可，域內的計算機如本例中的Perth和Beijing都不用擔心，組策略會告訴他們TESTCA是個可以信任的CA服務器。如果你覺得組策略生效時間太長，還可以運行 Gpupdate/force來加快組策略生效時間。域外的計算機如本例中的Istanbul就需要手工信任這個CA服務器了，具體操作方法如下。我們先把Denver的網站用ISA發布出來，然后在Istanbul上訪問[url]http://denver.contoso.com/certsrv[/url]，如下圖所示，網站要求進行身份驗證，我們輸入域管理員的用戶名和口令。

?

通過身份驗證后我們可以通過網站訪問CA服務器了，如下圖所示，選擇“下載一個CA證書，證書鏈或CRL”。

?

如下圖所示，選擇“下載CA證書”，網站彈出文件下載的對話框，選擇“保存”。

?

把下載的CA根證書保存到C:\certnew.cert。

?

有了CA根證書之后，我們要把它手工導入被信任的根證書頒發機構中。在Istanbul上運行mmc，如下圖所示，在mmc控制臺中選擇“添加刪除管理單元”。

?

如下圖所示，點擊“添加”，選擇添加“證書”管理單元。

?

證書管理單元負責對計算機賬號管理證書。

?

在新添加的證書管理單元中定位到“受信任的根證書頒發機構－證書”，如下圖所示，在所有任務中選擇“導入”。

?

啟動證書導入向導。

?

將CA根證書文件導入，如下圖所示。

?

選擇證書的存儲區域。

?

證書導入后，如下圖所示，TESTCA已經成了被Istanbul信任的根證書頒發機構。

?

至此，我們完成了CA服務器的創建以及對CA服務器的信任，切記，所有訪問安全Web站點的計算機都要信任證書頒發機構。

?

二 為安全Web站點申請證書

創建了CA服務器之后，我們就可以為Perth的Web站點申請證書了。在Perth的IIS管理器中查看默認站點的屬性，如下圖所示，切換到站點屬性的“目錄安全性”標簽，點擊“服務器證書”。

?

彈出服務器證書申請向導。

?

選擇“新建證書”。

?

由于之前創建的CA類型是企業根，因此我們可以直接在線申請證書。

?

證書的名稱和加密位數取默認值即可。

?

單位和部門參數也不重要。

?

證書的公用名稱至關重要，公用名稱一定要和外網用戶訪問此安全網站時所使用的域名完全匹配。如果不匹配，安全Web站點將發布失敗。

?

填寫證書的地理信息。

?

安全Web站點使用默認的443端口。

?

從Active Directory中選擇所使用的證書頒發機構。

?

證書申請完成，CA已經給Perth的Web站點頒發了證書，現在Perth已經是一個安全Web站點了。

?

三 導出證書

接下來我們要在Perth上把申請到的證書導出給文件，然后再讓ISA服務器導入。在Perth的IIS管理器中切換到默認Web站點的“目錄安全性”標簽，如下圖所示，點擊“查看證書”。

?

切換到證書的“詳細信息”屬性，如下圖所示，點擊“復制到文件”。

?

出現證書導出向導。

?

一定要連同私鑰一起導出。

?

導出為pfx格式文件。

?

輸入私鑰保護密碼。

?

把證書及私鑰導出為c:\perth.pfx。

?

四 導入證書

我們把perth導出的證書文件復制到ISA服務器上，然后ISA就可以進行證書的導入操作了。參考在Istanbul上用mmc創建證書管理單元的步驟，在ISA上也創建一個證書管理單元管理計算機賬號的證書，如下圖所示，右鍵單擊“個人”容器，在所有任務中選擇“導入”。

?

出現證書導入向導。

?

選擇導入perth.pfx文件。

?

輸入pfx文件中的私鑰保護口令。

?

將導入的證書放到個人存儲中。

?

如下圖所示，導入成功，ISA服務器上有了perth.contoso.com的證書以及相關私鑰。

?

五 創建安全Web站點發布規則

萬事俱備，只欠東風。我們現在可以在ISA服務器上發布Perth上的安全Web站點了。如下圖所示，在ISA服務器管理器中選擇新建“網站發布規則”。

?

為發布規則取名。

?

訪問請求滿足規則要求ISA則允許訪問。

?

發布類型為發布單個網站。

?

使用SSL加密ISA與安全Web站點之間的數據。

?

內部站點的名稱為perth.contoso.com，注意，內部站點的名稱應該和安全站點證書中的公用名稱完全一致，否則會導致發布失敗。

?

從根目錄開始發布整個網站。

?

安全站點的公共名稱也應該和證書中的公用名稱完全一致。

?

由于沒有監聽443端口的偵聽器，因此我們選擇“新建”。

?

出現Web偵聽器創建向導，我們為新創建的Web偵聽器取個名字。

?

偵聽器與外網訪問者之間的數據需要用SSL加密。

?

偵聽器對外網進行監聽。

?

由于偵聽器需要對外網訪問者的數據進行加密，因此偵聽器需要提供證書，如下圖所示，點擊“選擇證書”。

?

在偵聽器中選擇使用導入的perth.contoso.com證書，這樣外網訪問者才會相信ISA服務器就是他們要訪問的perth.contoso.com。

?

偵聽器選擇證書之后，繼續下一步。

?

本例中發布的安全Web站點不需要用戶進行身份驗證，發布其他的安全Web站點就未必不需要身份驗證了，例如發布Exchange就需要進行身份驗證。

?

本例中不需要設置單點登錄。

?

在發布規則中使用新創建的Web偵聽器。

?

安全Web站點沒有委派ISA對客戶端進行身份驗證。

?

此規則適用于所有用戶。

?

完成安全Web站點發布規則，呵呵，終于結束了。

?

好了，一切都就緒了，我們在Istanbul上測試一下，如下圖所示，在Istanbul上訪問[url]https://perth.contoso.com[/url]，系統彈出對話框提示即將通過安全連接查看網頁。

?

訪問結果正常，OK，發布安全Web站點成功！

?

發布安全Web站點時問題基本都處在證書上，要么是證書的公用名稱寫得不對，要么導出證書的格式有問題，要么有些計算機不信任證書頒發機構等等，如果能先理解證書原理，那發布安全Web站點時就可以事半功倍了。

總結

以上是生活随笔為你收集整理的发布安全Web站点详细攻略:ISA2006系列之十四的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。