ISA Server 2004发布内部网络安全Web服务器。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://onlyzq.blog.51cto.com/1228/35052 | ||||
在ISA中对于SSL有以下二种处理方式:
u SSL遂道:客户端与Web服务器把加密数据传给ISA,ISA直接将数据转发。
l 优点:速度相对快。
l 缺点:ISA无法对数据进行HTTP筛选。
u SSL桥接:客户端将加密数据传给ISA,然后ISA解密进行HTTP筛选,最后再将数据加密传给Web服务器。
l 优点:可以进行HTTP筛选。
l 缺点:速度相对慢。
1、如何建立安全的Web站点,这里就不于详细讲述。但有一点要注意:
u 在为Web站点申请证书的时候,”公用名称”一定要输入一个ISA可以解析到的一个FQDN。比如下图中输入的”公用名称”为wuhan.local,那么在ISA中发布安全站点时,一定要能解析这个FQDN(通过个名称可以找到对应IP)。如果在实验中没有安装DNS,可以使用hosts(位于%systemroot%\system32\drivers\etc)增加相应记录。
 u 本次实验中Web站点中,Web与CA在同一台计算机,如果不在同一台计算机时又使用的是”独立CA”,那么ISA必须要先信任CA。
2、在IIS上通过”目录安全性”→”查看证书” →”详细信息” →”复制到文件”。
 u 需要导出私钥。
 u 勾选”如果可能,包括证书路径中所有证书”,并取消勾选”启用加强保护”。
 u 由于本例中ISA、IIS、CA都在同一台计算机上,如果Web站点与ISA不在同一台计算机就需将在Web站点上导出的证书导入到ISA中。
l 在导入证书时,需在将证书导入到”计算机帐户”(使用MMC中证书导入,选择”计算机账户”)。
3、在ISA服务器建立一个发布安全Web服务器规则。
 4、在本次实验中使用”SSL桥”。
 5、在”定义发布网站”的”计算机名称或IP地址”中要输入,为网站申请证书时的”公用名称”。
 6、在”公共名称细节”处输入外部网络计算机可以解析到的名称。
 7、需要新建一个Web侦听器。
 l 关于网络:要选择正确的网络(大部分应该是选择外部网络,因为发布的目的是为了让Internet用户可以访问内部的Web)。
l 关于端口:HTTPS的端口如无特殊需要无需修改端口。
  8、内部网络安全Web服务器发布完成。在进行实验要注意由于发布网站的公用名称是一个FQDN(本例为www.ssltest.com),那么外部网络用户必须能解析到这个名称,解析到的IP应是ISA外部网络的IP(本例中为192.23.28.44)。
u 可以在外部网络计算机指定的DNS服务上建立相应的记录。
l 可以在外部网络计算机hosts(位于%systemroot%\system32\drivers\etc)增加相应记录。
本文出自 “相濡以沫” 博客,请务必保留此出处http://onlyzq.blog.51cto.com/1228/35052 本文出自 51CTO.COM技术博客 |
onlyzq
博客统计信息
热门文章
最新评论
友情链接