妙用通配符证书发布多个安全站点

最新推荐文章于 2019-08-15 10:27:05 发布

weixin_33948416

最新推荐文章于 2019-08-15 10:27:05 发布

阅读量172

点赞数

原文链接：http://blog.51cto.com/evely/345612

版权

在上一篇博文中，我们介绍了如何利用 ISA2006 发布内网的安全 Web 站点，想必大家已经能用 ISA 在内网中发布一个安全站点了。今天我们把难度加大一些，要求在内网发布多个安全站点时。有的朋友可能一听到这儿就很不以为然，发布多个 Web 站点是很简单的事情嘛，干嘛搞得神秘兮兮的。注意，我们要发布的不是 Web 站点，而是安全 Web 站点！发布安全 Web 站点时侦听器需要用证书向访问者提供×××明，问题就在这里，当发布多个安全 Web 站点时，侦听器上到底应该使用什么样的证书呢？
例如在下图的拓扑中，我们要在 ISA 上发布两个安全 Web 站点，一个是 Denver 上的 denver.contoso.com ，另一个是 Perth 上的 perth.contoso.com 。我们在 ISA 侦听器上使用的证书，既要能向访问者证明自己是 denver.contoso.com ，又要能证明自己是 perth.contoso.com 。什么样的证书才能满足这样的要求呢？通配符证书！通配符证书利用通配符的模糊匹配特性可以和多个 Web 站点匹配，例如 *.contoso.com 就能同时匹配 denver.contoso.com 和 perth.contoso.com 。因此，我们只要在侦听器中使用通配符证书，再针对每个安全 Weh 站点创建相应的发布规则，发布多个安全 Web 站点的问题就解决了。

一申请通配符证书
我们仍然利用上篇博文中的实验环境，由于 ISA 服务器加入了域，我们可以在 ISA 服务器上直接申请通配符证书，在 ISA 服务器上用浏览器访问 [url]http://denver/certsrv[/url] ，如下图所示，选择“申请一个证书”。

选择“提交一个高级证书申请”，准备申请服务器证书。

选择“创建并向此 CA 提交一个申请”，准备手工输入证书参数。

申请证书时，如下图所示，模板选择“ Web 服务器”，姓名填写“ *.contoso.com ” ，勾选“将证书保存在本机计算机存储中”。注意，姓名是关键参数。

由于 CA 服务器的类型是企业根，因此申请的证书被自动颁发了，如下图所示，我们选择“安装此证书”。

安装完证书后，如下图所示，我们在 ISA 的计算机存储中已经看到了颁发的通配符证书。

二修改 Web 侦听器
如下图所示。在上篇博文中我们发布了 perth 上的安全 Web 站点， Web 侦听器使用的证书也是由 perth 导出的，现在我们要修改 Web 侦听器使用的证书，让侦听器使用通配符证书。

如下图所示，在防火墙策略工具箱中找到 Web 侦听器“ Listen 443 ”，双击侦听器。

在侦听器属性中切换到“证书”标签，如下图所示，现在侦听器上使用的证书是 perth.contoso.com ，点击“选择证书”。

如下图所示，选择使用 *.contoso.com 的通配符证书。

OK ， Web 侦听器修改完成。

三修改发布规则
现在 ISA 服务器中有一条发布规则用来发布 Perth 上的安全站点，这条发布规则的 Web 侦听器使用了通配符证书，我们利用这条规则复制出一条新的发布规则，再稍加修改就可以用于发布 Denver 上的安全站点了。如下图所示，右键点击防火墙策略，选择“复制”。

复制完规则后，选择“粘贴”。

如下图所示，复制后的规则如下图所示，我们编辑发布规则“ pub perth ssl website （ 1 ）”。

在发布规则属性中切换到“常规”标签，将名称改为“ pub denver ssl website ”。

切换至发布规则的“到”标签，在发布站点处填写“ denver.contoso.com ”。

切换到发布规则的“公共名称”标签，如下图所示，将公共名称从 perth.contoso.com 改为 denver.contoso.com 。

修改后的发布规则如下图所示，现在我们有两条发布规则分别用于发布 denver 和 perth 上的安全站点。

四测试
最后，我们在 Istanbul 上进行测试，首先访问 denver 上的安全站点，如下图所示，访问正常。

再来访问 perth 上的安全站点，仍然正常， OK ，利用通配符发布多个安全站点成功了！

发布多个安全 Web 站点除了使用通配符证书，还可以考虑使用多个 Web 侦听器，每个侦听器守护不同端口，只是这样一来势必访问某些安全站点时就不能在标准的 443 端口了，可能会给访问者带来麻烦。如果 ISA 的外网网卡帮定了多个 IP ，也可以在每个 IP 上绑定不同的证书。总之，希望大家在发布多个安全发布站点时，因地制宜，找出最适合自己的解决方法。