一、为何做此实验,写此文
公司有一台OA服务器,使用的是厂商集成安装模式(windows+php+apache+mysql),并对外开放WEB访问。此种情况下,面临几个问题:
一是WEB客户端与OA服务器交互没有安全性可言。
二是公司不愿意花钱去购置如硬件的SSL-***的解决方案。
三是对于IT管理人员,不愿意改变现有的系统和网络架构,从而导致管理的更加复杂化。
如此只有从管理、软件购置(如升级OA能有SSL模块的支持)、硬件购置等成本的最小化来着手了。
因为一直学习和研究ISA,突然想到ISA 2004开始就支持SSL-TO-HTTP的发布方式,而正好,公司也有一台ISA机器被我在使用,何不用来测试下?主意打定后,就开始了测试之旅,当然,还是挺顺利的完成了,并把一些重要的步骤写下来,供与各位交流。
二、要了解的知识点
实现此解决方案要首先了解一些知识点,尤其是需要用到CA方面技术知识,而这此又相对复杂点,还请各位提前备些此方面的能力。在这篇实验文章里,并不会过多的讲解。
1、ISA SERVER 发布WEB服务器
2、SSL 相关 (包括ssl-to-ssl隧道模式、桥接模式)
3、CA相关(工作组下,独立根CA的建立)
4、WEB服务及端口相关
5、PING NETSTAT等命令的使用
注:在此实验中,我使用的是WINDOWS 2003企业版自带的证书服务来做的证书,实际生产环境中,建议与数字证书服务机构洽购。且并不会在实验中过多的讲述微软证书服务实现的流程。
三、目的
目的很简单,利用现有的网络架构,达到在节省成本的同时,实现外部安全访问公司内部的OA服务器。
四、实现及原理简要分析
ISA SERVER 2004及2006主机充当代理服务器(代理内部用户上网,此境中主要是让OA服务器的网关为ISA的内部IP)、防火墙(HTTP筛选)、证书服务等角色。
ISA SERVER主机安装有两块网卡,其中一块为“外网卡”,为公网IP。一块为“内网卡”,为私有IP。
Internet上的web客户端访问OA时,需输入 [url]https://dnsdomainname[/url],此时web客户端与ISA SERVER的外网卡之间的网络为ssl隧道访问,而ISA SERVER与放置在内部网络(或DMZ区)的OA服务器之间的通讯则为“明文传输”。从而达到实现在INTERNET上数据传输安全的目的。
详细的可参考以下图示
四、环境与拓朴
1、windows server 2003 with sp2(企业版)+isa server 2006标准版+证书服务(windows 自带)
2、OA服务器(通达OA测试版)运行windows server 2003 with sp2
3、工作组环境,CA为独立根CA类型
4、IP及角色等详见如下图示:
五、安装及测试步骤
(一)证书服务的安装及申请(如果使用专业的公网CA。这一步骤可以省去)
1、证书服务的安装:
此部分只简单讲述,欲了解更加详细的内容请自行查找互联网。
A、在isa server主机上安装证书服务(前提ISA上安装了IIS6.0)
控制面板——添加删除程序——WINDOWS组件——选定证书服务
注意:在选定后会提示,点是继续。
B、由于是在工作组环境中,没有AD,在接下出现的"CA类型"选择“独立根CA”,并继续。同时输入CA的公用名称,自已可以随间填写(此是内部测试,如果用于公网上所有用户的访问时,就要做好详细的规划及找好CA机构)
C、之后按下一步,完成证书服务的安装。此时在ISA这台机器上就会新建一个站点默认访问地址为 [url]http://192.168.1.2/certsrv.[/url]但由于本机已有其它虚拟目录占用80端口,故改为8000,现在访问地址为: [url]http://192.168.1.2:8000/certsrv[/url]
2、为ISA SERVER本机与CA交互申请证书
A、在ISA SERVER机器上(证书服务也装在本机),打开IE,输入: [url]http://192.168.1.2:8000/certsrv[/url]
选择“申请一个证书”,进入下一个窗口,如下图:
这里有几个选项很重要:
a、姓名:一定要填写上你要使用的域名,这里填上ssl.rickyfang.net,也就是OA服务器对外的域名。
b、需要的证书类型:选择“服务器身份验证证书”
在"标记密钥为可导出"前面打上对勾
在“将证书保存在本地计算存储中”打上对勾
B、然后提示证书申请成功,注意此时的申请ID为3,因为之前为了配合实验截图,我又新做了一遍。故可能在接下来的截图中会出现ID为2的证书申请。
OK,打开管理工具——证书颁发机构——挂起的证书。可以看到刚才申请的ID为3的证书申请。选定——右键——所有任务——颁发。这时,便可在同一窗口的颁发的证书里看到刚才操作的结果。
3、在ISA主机上(再次强调,证书服务和证书申请都是在同一台机器上)再次输入 [url]http://192.168.1.2:8000/certsrv[/url]
在出现的首页,点选"查看挂起的证书申请的状态",在出现的下一个“证书已颁发”页面中,点选“安装此证书”。 就可以把证书安装在此主机中,这样,就为外部用户输入域名 [url]https://ssl.rickyfang.net[/url]进行验证提供了保证。
接下来,继续重头戏,就是在ISA上发布内部站点[url]http://192.168.1.28[/url]为外部通过[url]https://ssl.rickyfang.net[/url]能访问。
公司有一台OA服务器,使用的是厂商集成安装模式(windows+php+apache+mysql),并对外开放WEB访问。此种情况下,面临几个问题:
一是WEB客户端与OA服务器交互没有安全性可言。
二是公司不愿意花钱去购置如硬件的SSL-***的解决方案。
三是对于IT管理人员,不愿意改变现有的系统和网络架构,从而导致管理的更加复杂化。
如此只有从管理、软件购置(如升级OA能有SSL模块的支持)、硬件购置等成本的最小化来着手了。
因为一直学习和研究ISA,突然想到ISA 2004开始就支持SSL-TO-HTTP的发布方式,而正好,公司也有一台ISA机器被我在使用,何不用来测试下?主意打定后,就开始了测试之旅,当然,还是挺顺利的完成了,并把一些重要的步骤写下来,供与各位交流。
二、要了解的知识点
实现此解决方案要首先了解一些知识点,尤其是需要用到CA方面技术知识,而这此又相对复杂点,还请各位提前备些此方面的能力。在这篇实验文章里,并不会过多的讲解。
1、ISA SERVER 发布WEB服务器
2、SSL 相关 (包括ssl-to-ssl隧道模式、桥接模式)
3、CA相关(工作组下,独立根CA的建立)
4、WEB服务及端口相关
5、PING NETSTAT等命令的使用
注:在此实验中,我使用的是WINDOWS 2003企业版自带的证书服务来做的证书,实际生产环境中,建议与数字证书服务机构洽购。且并不会在实验中过多的讲述微软证书服务实现的流程。
三、目的
目的很简单,利用现有的网络架构,达到在节省成本的同时,实现外部安全访问公司内部的OA服务器。
四、实现及原理简要分析
ISA SERVER 2004及2006主机充当代理服务器(代理内部用户上网,此境中主要是让OA服务器的网关为ISA的内部IP)、防火墙(HTTP筛选)、证书服务等角色。
ISA SERVER主机安装有两块网卡,其中一块为“外网卡”,为公网IP。一块为“内网卡”,为私有IP。
Internet上的web客户端访问OA时,需输入 [url]https://dnsdomainname[/url],此时web客户端与ISA SERVER的外网卡之间的网络为ssl隧道访问,而ISA SERVER与放置在内部网络(或DMZ区)的OA服务器之间的通讯则为“明文传输”。从而达到实现在INTERNET上数据传输安全的目的。
详细的可参考以下图示
四、环境与拓朴
1、windows server 2003 with sp2(企业版)+isa server 2006标准版+证书服务(windows 自带)
2、OA服务器(通达OA测试版)运行windows server 2003 with sp2
3、工作组环境,CA为独立根CA类型
4、IP及角色等详见如下图示:
五、安装及测试步骤
(一)证书服务的安装及申请(如果使用专业的公网CA。这一步骤可以省去)
1、证书服务的安装:
此部分只简单讲述,欲了解更加详细的内容请自行查找互联网。
A、在isa server主机上安装证书服务(前提ISA上安装了IIS6.0)
控制面板——添加删除程序——WINDOWS组件——选定证书服务
注意:在选定后会提示,点是继续。
B、由于是在工作组环境中,没有AD,在接下出现的"CA类型"选择“独立根CA”,并继续。同时输入CA的公用名称,自已可以随间填写(此是内部测试,如果用于公网上所有用户的访问时,就要做好详细的规划及找好CA机构)
C、之后按下一步,完成证书服务的安装。此时在ISA这台机器上就会新建一个站点默认访问地址为 [url]http://192.168.1.2/certsrv.[/url]但由于本机已有其它虚拟目录占用80端口,故改为8000,现在访问地址为: [url]http://192.168.1.2:8000/certsrv[/url]
2、为ISA SERVER本机与CA交互申请证书
A、在ISA SERVER机器上(证书服务也装在本机),打开IE,输入: [url]http://192.168.1.2:8000/certsrv[/url]
选择“申请一个证书”,进入下一个窗口,如下图:
这里有几个选项很重要:
a、姓名:一定要填写上你要使用的域名,这里填上ssl.rickyfang.net,也就是OA服务器对外的域名。
b、需要的证书类型:选择“服务器身份验证证书”
在"标记密钥为可导出"前面打上对勾
在“将证书保存在本地计算存储中”打上对勾
B、然后提示证书申请成功,注意此时的申请ID为3,因为之前为了配合实验截图,我又新做了一遍。故可能在接下来的截图中会出现ID为2的证书申请。
OK,打开管理工具——证书颁发机构——挂起的证书。可以看到刚才申请的ID为3的证书申请。选定——右键——所有任务——颁发。这时,便可在同一窗口的颁发的证书里看到刚才操作的结果。
3、在ISA主机上(再次强调,证书服务和证书申请都是在同一台机器上)再次输入 [url]http://192.168.1.2:8000/certsrv[/url]
在出现的首页,点选"查看挂起的证书申请的状态",在出现的下一个“证书已颁发”页面中,点选“安装此证书”。 就可以把证书安装在此主机中,这样,就为外部用户输入域名 [url]https://ssl.rickyfang.net[/url]进行验证提供了保证。
接下来,继续重头戏,就是在ISA上发布内部站点[url]http://192.168.1.28[/url]为外部通过[url]https://ssl.rickyfang.net[/url]能访问。