在 ISA Server 中发布安全 Web 服务.docx
- 文档编号:3204330
- 上传时间:2022-11-20
- 格式:DOCX
- 页数:30
- 大小:960.55KB
在 ISA Server 中发布安全 Web 服务.docx
《在 ISA Server 中发布安全 Web 服务.docx》由会员分享,可在线阅读,更多相关《在 ISA Server 中发布安全 Web 服务.docx(30页珍藏版)》请在冰豆网上搜索。
在ISAServer中发布安全Web服务
在ISAServer2006中发布安全Web服务
在ISA2006中发布安全Web服务和在ISA2004中进行发布基本一致。
在进行发布之前,你需要进行以下准备工作:
1、确保在ISAServer上可以正常的访问内部的安全Web服务而不出现任何警告,如下图所示,我在ISAServer上可以正常的访问内部的两台安全Web服务器Chicago.isacn.org(10.1.1.7)和Istanbul.isacn.org(10.1.1.8);
2、将颁发安全Web服务的服务器证书的证书颁发机构的CA证书导入到ISAServer本地计算机的受信任的根证书颁发机构存储中,其实这一步应该是属于上一个步骤的。
然后需要给ISAServer安装相应的服务器证书以实现外部客户和ISAServer之间的安全连接。
从理论上说,绑定在ISAServer外部接口上的服务器证书和内部安全Web服务的服务器证书是没有任何关系的,但是通常都是配置ISAServer使用内部安全Web服务的服务器证书来实现外部客户和ISAServer之间的安全连接。
在此,我先导出被发布的安全Web服务的服务器证书,注意导出时必须导出私钥,然后导入到ISAServer的本地计算机的证书存储中以便使用,如下图所示:
在做好准备工作以后,我们就可以进行安全Web服务的发布了。
一、发布单个安全Web服务
首先我以对外发布位于Istanbul.isacn.org(10.1.1.8)上的安全Web服务为例,外部的DNS服务器将域名Istanbul.isacn.org解析到ISAServer的外部IP地址172.16.0.248,外部客户通过访问此IP地址来访问被发布的安全Web服务。
在ISAServer2006管理控制台中右击防火墙策略,指向新建,选择Web站点发布规则;
在弹出的欢迎使用新建Web发布规则向导页,输入规则名称“PublishSSL”后点击下一步;
在选择规则动作页,选择允许,点击下一步;
在发布类型页,选择发布单个Web站点或负载均衡器,点击下一步;
在服务器连接安全性页,选择使用SSL来连接到被发布的Web服务器或服务器场(即使用HTTPS来连接被发布的服务器),点击下一步;
在内部发布细节第一页,在内部站点名栏输入被发布的内部Web站点的名称,ISAServer将使用此名称来连接到被发布的安全Web服务器,并且此名字必须和对应的安全Web服务器所绑定的证书的公共名字相匹配;为了便于ISA连接到内部的安全Web服务器,建议你勾选使用计算机名或IP地址来连接到被发布的服务器,然后输入服务器的IP地址,完成后点击下一步;
在内部发布细节第二页,输入发布的内部Web站点的路径,在此我发布全部路径,因此直接点击下一步;
在公共名字细节页,选择接受外部访问请求的外部域名,在此我在接收请求栏选择以下域名,输入外部域名istanbul.isacn.org后点击下一步;
在选择Web侦听器页,点击新建按钮;在弹出的欢迎使用新建Web侦听器向导页,输入侦听器名称后点击下一步;
在客户端连接安全性页,选择要求和客户端之间的SSL安全连接,点击下一步;
在Web侦听器IP地址页,勾选外部网络,然后点击选择IP地址按钮来配置Web侦听器侦听的IP地址;
ISAServer的外部接口具有两个IP地址,由于在此我只想将发布的安全Web服务绑定在172.16.0.248这个IP地址上,因此选择指定位于被选择的网络中的ISAServer计算机的IP地址,然后选择172.16.0.248,点击添加,然后点击确定;然后在Web侦听器IP地址页点击下一步;
在侦听器SSL证书页,选择为每个IP地址分配一个证书,然后点击172.16.0.248,再点击选择证书,
在选择证书对话框,点击对应的服务器证书,然后点击选择,
在侦听器SSL证书页点击下一步;
在身份验证设置页,设置ISAServer2006是否对请求访问的客户进行身份验证。
需要注意的是,此身份验证是由ISAServer要求客户进行,和被发布的Web服务器没有任何关系。
不过在ISAServer2006中增强了对于身份验证委派的支持,因此你可以设置ISAServer要求客户身份验证,然后ISAServer再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器,从而避免客户端被提示要求进行多次身份验证。
在此我不需要ISA2006对客户端进行身份验证,因此选择无身份验证,点击下一步;
在单点登录设置页,由于只有基于HTTP表单的身份验证才支持SSO,因此无法进行配置,直接点击下一步;
在正在完成新建Web侦听器向导页点击完成,然后在选择Web侦听器页点击下一步;
在身份验证委派页,由于被发布的安全Web服务可能会要求客户端进行身份验证,因此我选择无委派,但是客户端可以直接进行身份验证,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页点击完成,此时Web发布规则就创建好了,点击应用保存修改和更新防火墙策略。
我们在外部网络的客户上访问进行测试,访问成功,如下图所示:
而ISA2006上的日志如下图所示:
二、发布多个安全Web服务
在此,我将利用前面创建的安全Web服务发布规则和Web侦听器,通过复制规则再发布位于Chicago.isacn.org(10.1.1.7)上的安全Web服务,外部的DNS服务器将域名Chicago.isacn.org解析到ISAServer的另外一个外部IP地址172.16.0.247,外部客户通过访问此IP地址来访问被发布的安全Web服务。
在ISA2006管理控制台的防火墙策略面板中右击刚才创建的“PublishSSL”规则,选择复制,然后再次右击,选择粘贴,此时复制出了一条安全Web发布规则,双击此规则打开规则属性对话框,首先在常规标签修改规则名称,然后在到标签修改被发布的站点名和服务器IP地址;
在公共名字标签,修改允许外部客户访问的公共名字;
然后在侦听器标签,点击属性,
在弹出的侦听器属性对话框上,点击网络标签,选择外部网络,再点击地址按钮;在弹出的外部网络侦听器IP选择对话框上,点击172.16.0.247,然后点击添加,再点击确定;
在侦听器属性对话框上,点击证书标签,选择172.16.0.247,然后点击选择证书,
在选择证书对话框,点击对应的服务器证书,然后点击选择,
然后在侦听器属性对话框上点击确定;
最后在规则属性对话框上点击确定,然后点击应用保存修改和更新防火墙策略。
我们同样在外部网络的客户上访问进行测试,访问成功,如下图所示:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISA Server 中发布安全 Web 服务 发布 安全