妙用通配符證書發(fā)布多個安全站點
在上一篇博文中����,我們介紹了如何利用ISA2006發(fā)布內網的安全Web站點�����,想必大家已經能用ISA在內網中發(fā)布一個安全站點了����。今天我們把難度加大一些��,要求在內網發(fā)布多個安全站點時�。有的朋友可能一聽到這兒就很不以為然,發(fā)布多個Web站點是很簡單的事情嘛���,干嘛搞得神秘兮兮的�����。注意�����,我們要發(fā)布的不是Web站點��,而是安全Web站點��!發(fā)布安全Web站點時偵聽器需要用證書向訪問者提供身份證明��,問題就在這里����,當發(fā)布多個安全Web站點時,偵聽器上到底應該使用什么樣的證書呢����?
例如在下圖的拓撲中,我們要在ISA上發(fā)布兩個安全Web站點�����,一個是Denver上的denver.contoso.com�,另一個是Perth上的perth.contoso.com。我們在ISA偵聽器上使用的證書��,既要能向訪問者證明自己是denver.contoso.com,又要能證明自己是perth.contoso.com�����。什么樣的證書才能滿足這樣的要求呢�?通配符證書!通配符證書利用通配符的模糊匹配特性可以和多個Web站點匹配��,例如*.contoso.com就能同時匹配denver.contoso.com和perth.contoso.com��。因此���,我們只要在偵聽器中使用通配符證書��,再針對每個安全Weh站點創(chuàng)建相應的發(fā)布規(guī)則���,發(fā)布多個安全Web站點的問題就解決了���。
一 申請通配符證書
我們仍然利用上篇博文中的實驗環(huán)境�,由于ISA服務器加入了域����,我們可以在ISA服務器上直接申請通配符證書�,在ISA服務器上用瀏覽器訪問 [url]http://denver/certsrv[/url]�,如下圖所示,選擇“申請一個證書”�����。
選擇“提交一個高級證書申請”�,準備申請服務器證書。
選擇“創(chuàng)建并向此CA提交一個申請”�,準備手工輸入證書參數。
申請證書時��,如下圖所示����,模板選擇“Web服務器”,姓名填寫“*.contoso.com”����,勾選“將證書保存在本機計算機存儲中”。注意����,姓名是關鍵參數。
由于CA服務器的類型是企業(yè)根,因此申請的證書被自動頒發(fā)了�����,如下圖所示���,我們選擇“安裝此證書”�����。
安裝完證書后��,如下圖所示����,我們在ISA的計算機存儲中已經看到了頒發(fā)的通配符證書����。
二 修改Web偵聽器
如下圖所示。在上篇博文中我們發(fā)布了perth上的安全Web站點����,Web偵聽器使用的證書也是由perth導出的����,現在我們要修改Web偵聽器使用的證書���,讓偵聽器使用通配符證書。
如下圖所示�����,在防火墻策略工具箱中找到Web偵聽器“Listen 443”�,雙擊偵聽器。
在偵聽器屬性中切換到“證書”標簽��,如下圖所示���,現在偵聽器上使用的證書是perth.contoso.com����,點擊“選擇證書”���。
如下圖所示�����,選擇使用*.contoso.com的通配符證書��。
OK�,Web偵聽器修改完成。
三 修改發(fā)布規(guī)則
現在ISA服務器中有一條發(fā)布規(guī)則用來發(fā)布Perth上的安全站點�����,這條發(fā)布規(guī)則的Web偵聽器使用了通配符證書����,我們利用這條規(guī)則復制出一條新的發(fā)布規(guī)則,再稍加修改就可以用于發(fā)布Denver上的安全站點了����。如下圖所示,右鍵點擊防火墻策略�����,選擇“復制”�����。
復制完規(guī)則后��,選擇“粘貼”���。
如下圖所示����,復制后的規(guī)則如下圖所示����,我們編輯發(fā)布規(guī)則“pub perth ssl website(1)”。
在發(fā)布規(guī)則屬性中切換到“常規(guī)”標簽��,將名稱改為“pub denver ssl website”����。
切換至發(fā)布規(guī)則的“到”標簽,在發(fā)布站點處填寫“denver.contoso.com”���。
切換到發(fā)布規(guī)則的“公共名稱”標簽���,如下圖所示,將公共名稱從perth.contoso.com改為denver.contoso.com�。
修改后的發(fā)布規(guī)則如下圖所示,現在我們有兩條發(fā)布規(guī)則分別用于發(fā)布denver和perth上的安全站點��。
四 測試
最后�,我們在Istanbul上進行測試�����,首先訪問denver上的安全站點����,如下圖所示����,訪問正常。
再來訪問perth上的安全站點�,仍然正常,OK�,利用通配符發(fā)布多個安全站點成功了!
發(fā)布多個安全Web站點除了使用通配符證書�,還可以考慮使用多個Web偵聽器,每個偵聽器守護不同端口��,只是這樣一來勢必訪問某些安全站點時就不能在標準的443端口了�,可能會給訪問者帶來麻煩。如果ISA的外網網卡幫定了多個IP�,也可以在每個IP上綁定不同的證書??傊M蠹以诎l(fā)布多個安全發(fā)布站點時��,因地制宜,找出最適合自己的解決方法�。
本文出自 “岳雷的微軟網絡課堂” 博客,請務必保留此出處http://yuelei.blog.51cto.com/202879/88716
