妙用通配符证书发布多个安全站点
在上一篇博文中,我们介绍了如何利用ISA2006发布内网的安全Web站点,想必大家已经能用ISA在内网中发布一个安全站点了。今天我们把难度加大一些,要求在内网发布多个安全站点时。有的朋友可能一听到这儿就很不以为然,发布多个Web站点是很简单的事情嘛,干嘛搞得神秘兮兮的。注意,我们要发布的不是Web站点,而是安全Web站点!发布安全Web站点时侦听器需要用证书向访问者提供身份证明,问题就在这里,当发布多个安全Web站点时,侦听器上到底应该使用什么样的证书呢?
例如在下图的拓扑中,我们要在ISA上发布两个安全Web站点,一个是Denver上的denver.contoso.com,另一个是Perth上的perth.contoso.com。我们在ISA侦听器上使用的证书,既要能向访问者证明自己是denver.contoso.com,又要能证明自己是perth.contoso.com。什么样的证书才能满足这样的要求呢?通配符证书!通配符证书利用通配符的模糊匹配特性可以和多个Web站点匹配,例如 *.contoso.com就能同时匹配denver.contoso.com和perth.contoso.com。因此,我们只要在侦听器中使用通配符证书,再针对每个安全Weh站点创建相应的发布规则,发布多个安全Web站点的问题就解决了。
一
申请通配符证书
我们仍然利用上篇博文中的实验环境,由于ISA服务器加入了域,我们可以在ISA服务器上直接申请通配符证书,在ISA服务器上用浏览器访问 [url]http://denver/certsrv[/url],如下图所示,选择“申请一个证书”。
选择“提交一个高级证书申请”,准备申请服务器证书。
选择“创建并向此CA提交一个申请”,准备手工输入证书参数。
申请证书时,如下图所示,模板选择“Web服务器”,姓名填写“*.contoso.com”,勾选“将证书保存在本机计算机存储中”。注意,姓名是关键参数。
由于CA服务器的类型是企业根,因此申请的证书被自动颁发了,如下图所示,我们选择“安装此证书”。
安装完证书后,如下图所示,我们在ISA的计算机存储中已经看到了颁发的通配符证书。
二
修改
Web
侦听器
如下图所示。在上篇博文中我们发布了perth上的安全Web站点,Web侦听器使用的证书也是由perth导出的,现在我们要修改Web侦听器使用的证书,让侦听器使用通配符证书。
如下图所示,在防火墙策略工具箱中找到Web侦听器“Listen 443”,双击侦听器。
在侦听器属性中切换到“证书”标签,如下图所示,现在侦听器上使用的证书是perth.contoso.com,点击“选择证书”。
如下图所示,选择使用*.contoso.com的通配符证书。
OK,Web侦听器修改完成。
三
修改发布规则
现在ISA服务器中有一条发布规则用来发布Perth上的安全站点,这条发布规则的Web侦听器使用了通配符证书,我们利用这条规则复制出一条新的发布规则,再稍加修改就可以用于发布Denver上的安全站点了。如下图所示,右键点击防火墙策略,选择“复制”。
复制完规则后,选择“粘贴”。
如下图所示,复制后的规则如下图所示,我们编辑发布规则“pub perth ssl website(1)”。
在发布规则属性中切换到“常规”标签,将名称改为“pub denver ssl website”。
切换至发布规则的“到”标签,在发布站点处填写“denver.contoso.com”。
切换到发布规则的“公共名称”标签,如下图所示,将公共名称从perth.contoso.com改为denver.contoso.com。
修改后的发布规则如下图所示,现在我们有两条发布规则分别用于发布denver和perth上的安全站点。
四
测试
最后,我们在Istanbul上进行测试,首先访问denver上的安全站点,如下图所示,访问正常。
再来访问perth上的安全站点,仍然正常,OK,利用通配符发布多个安全站点成功了!
发布多个安全Web站点除了使用通配符证书,还可以考虑使用多个Web侦听器,每个侦听器守护不同端口,只是这样一来势必访问某些安全站点时就不能在标准的443端口了,可能会给访问者带来麻烦。如果ISA的外网网卡帮定了多个IP,也可以在每个IP上绑定不同的证书。总之,希望大家在发布多个安全发布站点时,因地制宜,找出最适合自己的解决方法。
本文转自yuelei51CTO博客,原文链接: http://blog.51cto.com/yuelei/88716,如需转载请自行联系原作者
