妙用通配符證書(shū)發(fā)布多個(gè)安全站點(diǎn)
在上一篇博文中,我們介紹了如何利用ISA2006發(fā)布內(nèi)網(wǎng)的安全Web站點(diǎn)�����,想必大家已經(jīng)能用ISA在內(nèi)網(wǎng)中發(fā)布一個(gè)安全站點(diǎn)了���。今天我們把難度加大一些�,要求在內(nèi)網(wǎng)發(fā)布多個(gè)安全站點(diǎn)時(shí)�����。有的朋友可能一聽(tīng)到這兒就很不以為然���,發(fā)布多個(gè)Web站點(diǎn)是很簡(jiǎn)單的事情嘛�����,干嘛搞得神秘兮兮的�����。注意�����,我們要發(fā)布的不是Web站點(diǎn)��,而是安全Web站點(diǎn)����!發(fā)布安全Web站點(diǎn)時(shí)偵聽(tīng)器需要用證書(shū)向訪(fǎng)問(wèn)者提供身份證明�����,問(wèn)題就在這里,當(dāng)發(fā)布多個(gè)安全Web站點(diǎn)時(shí)��,偵聽(tīng)器上到底應(yīng)該使用什么樣的證書(shū)呢�?
例如在下圖的拓?fù)渲校覀円?/span>ISA上發(fā)布兩個(gè)安全Web站點(diǎn)��,一個(gè)是Denver上的denver.contoso.com��,另一個(gè)是Perth上的perth.contoso.com�����。我們?cè)?/span>ISA偵聽(tīng)器上使用的證書(shū)���,既要能向訪(fǎng)問(wèn)者證明自己是denver.contoso.com��,又要能證明自己是perth.contoso.com�����。什么樣的證書(shū)才能滿(mǎn)足這樣的要求呢?通配符證書(shū)�����!通配符證書(shū)利用通配符的模糊匹配特性可以和多個(gè)Web站點(diǎn)匹配,例如*.contoso.com就能同時(shí)匹配denver.contoso.com和perth.contoso.com����。因此,我們只要在偵聽(tīng)器中使用通配符證書(shū)����,再針對(duì)每個(gè)安全Weh站點(diǎn)創(chuàng)建相應(yīng)的發(fā)布規(guī)則,發(fā)布多個(gè)安全Web站點(diǎn)的問(wèn)題就解決了����。
一 申請(qǐng)通配符證書(shū)
我們?nèi)匀焕蒙掀┪闹械膶?shí)驗(yàn)環(huán)境,由于ISA服務(wù)器加入了域��,我們可以在ISA服務(wù)器上直接申請(qǐng)通配符證書(shū)��,在ISA服務(wù)器上用瀏覽器訪(fǎng)問(wèn) [url]http://denver/certsrv[/url]����,如下圖所示,選擇“申請(qǐng)一個(gè)證書(shū)”��。
選擇“提交一個(gè)高級(jí)證書(shū)申請(qǐng)”����,準(zhǔn)備申請(qǐng)服務(wù)器證書(shū)���。
選擇“創(chuàng)建并向此CA提交一個(gè)申請(qǐng)”,準(zhǔn)備手工輸入證書(shū)參數(shù)�����。
申請(qǐng)證書(shū)時(shí)���,如下圖所示��,模板選擇“Web服務(wù)器”�����,姓名填寫(xiě)“*.contoso.com”�����,勾選“將證書(shū)保存在本機(jī)計(jì)算機(jī)存儲(chǔ)中”��。注意����,姓名是關(guān)鍵參數(shù)。
由于CA服務(wù)器的類(lèi)型是企業(yè)根�����,因此申請(qǐng)的證書(shū)被自動(dòng)頒發(fā)了���,如下圖所示,我們選擇“安裝此證書(shū)”�。
安裝完證書(shū)后,如下圖所示�,我們?cè)?/span>ISA的計(jì)算機(jī)存儲(chǔ)中已經(jīng)看到了頒發(fā)的通配符證書(shū)。
二 修改Web偵聽(tīng)器
如下圖所示��。在上篇博文中我們發(fā)布了perth上的安全Web站點(diǎn)���,Web偵聽(tīng)器使用的證書(shū)也是由perth導(dǎo)出的�����,現(xiàn)在我們要修改Web偵聽(tīng)器使用的證書(shū)�����,讓偵聽(tīng)器使用通配符證書(shū)���。
如下圖所示�����,在防火墻策略工具箱中找到Web偵聽(tīng)器“Listen 443”��,雙擊偵聽(tīng)器�。
在偵聽(tīng)器屬性中切換到“證書(shū)”標(biāo)簽�,如下圖所示,現(xiàn)在偵聽(tīng)器上使用的證書(shū)是perth.contoso.com�����,點(diǎn)擊“選擇證書(shū)”���。
如下圖所示�����,選擇使用*.contoso.com的通配符證書(shū)�����。
OK�,Web偵聽(tīng)器修改完成。
三 修改發(fā)布規(guī)則
現(xiàn)在ISA服務(wù)器中有一條發(fā)布規(guī)則用來(lái)發(fā)布Perth上的安全站點(diǎn)�����,這條發(fā)布規(guī)則的Web偵聽(tīng)器使用了通配符證書(shū)���,我們利用這條規(guī)則復(fù)制出一條新的發(fā)布規(guī)則,再稍加修改就可以用于發(fā)布Denver上的安全站點(diǎn)了�。如下圖所示,右鍵點(diǎn)擊防火墻策略�����,選擇“復(fù)制”�。
復(fù)制完規(guī)則后,選擇“粘貼”�����。
如下圖所示�,復(fù)制后的規(guī)則如下圖所示,我們編輯發(fā)布規(guī)則“pub perth ssl website(1)”�����。
在發(fā)布規(guī)則屬性中切換到“常規(guī)”標(biāo)簽,將名稱(chēng)改為“pub denver ssl website”���。
切換至發(fā)布規(guī)則的“到”標(biāo)簽����,在發(fā)布站點(diǎn)處填寫(xiě)“denver.contoso.com”��。
切換到發(fā)布規(guī)則的“公共名稱(chēng)”標(biāo)簽���,如下圖所示��,將公共名稱(chēng)從perth.contoso.com改為denver.contoso.com���。
修改后的發(fā)布規(guī)則如下圖所示,現(xiàn)在我們有兩條發(fā)布規(guī)則分別用于發(fā)布denver和perth上的安全站點(diǎn)��。
四 測(cè)試
最后�,我們?cè)?/span>Istanbul上進(jìn)行測(cè)試,首先訪(fǎng)問(wèn)denver上的安全站點(diǎn)����,如下圖所示��,訪(fǎng)問(wèn)正常��。
再來(lái)訪(fǎng)問(wèn)perth上的安全站點(diǎn)��,仍然正常��,OK�����,利用通配符發(fā)布多個(gè)安全站點(diǎn)成功了!
發(fā)布多個(gè)安全Web站點(diǎn)除了使用通配符證書(shū)�,還可以考慮使用多個(gè)Web偵聽(tīng)器,每個(gè)偵聽(tīng)器守護(hù)不同端口����,只是這樣一來(lái)勢(shì)必訪(fǎng)問(wèn)某些安全站點(diǎn)時(shí)就不能在標(biāo)準(zhǔn)的443端口了,可能會(huì)給訪(fǎng)問(wèn)者帶來(lái)麻煩����。如果ISA的外網(wǎng)網(wǎng)卡幫定了多個(gè)IP,也可以在每個(gè)IP上綁定不同的證書(shū)��?�?傊M蠹以诎l(fā)布多個(gè)安全發(fā)布站點(diǎn)時(shí)�����,因地制宜�����,找出最適合自己的解決方法����。
本文出自 “岳雷的微軟網(wǎng)絡(luò)課堂” 博客,請(qǐng)務(wù)必保留此出處http://yuelei.blog.51cto.com/202879/88716
