1.环境拓扑图:
2.在DMZ中安装WEB服务器后,再安装CA服务器
首先安装Web服务器:
在DMZ区域的Web服务器进行测试:
之后我们安装CA证书服务器:
下一步:
选择“证书颁发机构”和“证书颁发机构Web注册”:
选择“独立CA”:
选择“根CA”:
新建私钥:
配置加密方式:
配置CA名称:
配置证书有效期:
配置数据库位置:
下一步:
安装Web相关组件:
开始安装:
完成CA的安装:
打开证书颁发机构管理控制台:
打开IIS控制台,发现默认站点下新添加了一个虚拟目录certsrv:
3.在WEB服务器的默认网站向CA服务器申请网站服务证书
打开Web服务器,IIS管理控制台,双击“服务器证书”:
点击“创建证书申请”:
在“通用名称”中添加Web服务器要发布的FQDN名称:
设置加密类型:
选择文件的存放位置:
在Web服务器上打开IE浏览器输入:http://CA服务器的IP地址/certsrv,点击“申请证书”:
选择“高级证书申请”:
选择“使用base编码”:
在保存的申请中,输入当时Web服务器保存的记事本中的全部内容,点击“提交”:
证书已经申请:
4.在CA服务器上颁发证书
打开CA管理控制台,找到“挂起的申请”里Web服务器刚刚申请的证书,由管理员手动进行颁发:
查看“颁发的证书”,证书已经被颁发成功:
5.在WEB服务器中下载证书并安装证书
在Web服务器上输入http://CA服务器IP地址/certsrv,点击“查看挂起的证书申请的状态”:
找到刚申请的证书后,点击下载:
回到IIS管理控制台,找到“服务器证书”,点击右侧的“完成证书申请”:
找到刚下载的网站证书:
找到网站站点,选择“绑定”,点击“添加”:
选择协议类型为“https”,端口为“443”,SSL证书为刚刚保存的网站证书:
6.在WEB服务器上找到“证书管理器”(计算机证书),导出证书到文件(导出私钥),并把该证书文件复制到TMG服务器中
在Web服务器上打开微软管理控制台MMC,添加计算机证书:
找到个人证书里的网站证书,然后导出:
选择导出私钥:
输入密码:
选择保存路径:
完成:
找到证书存放的位置,把该证书复制到TMG服务器中:
7.在TMG服务器上使用MMC控制台打开“证书管理器”(计算机证书),将复制过来的证书导入到个人证书
在TMG服务器中打开计算机证书,选择“导入”:
找到刚刚复制过来的证书:
输入当时设置的密码:
导入成功:
8.在TMG服务器上创建一条允许http的访问规则
在TMG服务器中新建访问规则:
输入名称:
选择“允许”:
选择协议为http:
选择访问源为“本机主机”,即TMG服务器:
选择访问目标为“外围”:
9.在TMG服务器上的IE浏览器中输入http://CA服务器IP地址/certsrv,选择“下载CA证书链”,将证书链文件保存在计算机中
10.在TMG服务器上使用MMC控制台打开“证书管理器”(计算机证书),将下载的证书链导入到“受信任的证书颁发机构”
找到刚下载的CA证书链:
11.在TMG服务器上创建“网站发布规则”
输入名称:
选择“允许”:
选择“发布单个网站或负载平衡器”:
选择“使用SSL连接到发布的Web服务器或服务器场”:
输入内部站点名称,勾选“使用计算机名称或IP地址连接到发布的服务器”,输入DMZ区域的Web服务器的IP地址:
输入路径:
输入公用名称:
新建Web侦听器:
选择“需要与客户端建立SSL安全连接”:
选择侦听的范围为“外部”:
选择证书:
选择身份验证为“没有身份验证”:
完成:
选择身份验证委派:
选择所有用户:
完成:
12.把Web服务器设置为要求SSL访问
找到Web服务器站点,选择“SSL 设置”:
勾选“要求SSL”,并应用:
13.在外网的计算机中修改hosts文件将网站域名指向TMG服务器的外网网卡的IP地址
14.在IE浏览器中输入https://TMG服务器外网网卡IP地址,来验证是否成功
本文转自 nick_zp 51CTO博客,原文链接:http://blog.51cto.com/nickzp/1324522,如需转载请自行联系原作者
