一、 实验需求:
用ISA2006服务器发布内网SSL网站,外网客户端必须用https访问到内部网站。
二、 网络实验环境及拓扑图
1、内网服务器一台,IP地址如图所示,提供WEB、DNS、CA服务,域名:zl.com
2、ISA2006服务器一台,双网卡,IP地址如图所示,,为内网上Internet提供NAT服务,并且发布一台SSL网站。
3、外网客户端一台,IP地址如图所示,测试WEB访问
clip_p_w_picpath002
clip_p_w_picpath004
三、 详细步骤
1、内网服务器安装IIS、DNS、CA服务。
DNS服务器配置如下:
clip_p_w_picpath006
IIS配置如下:
clip_p_w_picpath008
clip_p_w_picpath010
CA服务器配置:
clip_p_w_picpath012
clip_p_w_picpath014
2、 CA 服务器为 WEB 服务器申请一个证书
clip_p_w_picpath016
clip_p_w_picpath018
clip_p_w_picpath020
注意:在申请证书时,证书公用名称至关重要,它一定要和外网用户访问网站时所使用的域名一样。
clip_p_w_picpath022
备注:一定选上“标记密钥为可导出”和“将证书保存在本地计算机……
clip_p_w_picpath024clip_p_w_picpath026
颁发证书 :
clip_p_w_picpath028
clip_p_w_picpath030
3、 WEB 服务器中安装证书,让 WEB 服务器和 ISA 服务器信任 CA ,下载 CA 证书链,将证书链文件导入到 Web 服务器“受信任的根证书颁发机构”。
clip_p_w_picpath032
clip_p_w_picpath034 clip_p_w_picpath036
clip_p_w_picpath038
clip_p_w_picpath040
下载 CA 服务器证书链,并安装在受信任的根证书颁发机构, CA WEB 同一台服务器就不用做这一步了。
clip_p_w_picpath042
4、 WEB 服务器的 MMC 控制台,将网站证书导出来,连私钥一起导出来,再导入到 ISA 服务器中。
在WEB服务器导出证书
clip_p_w_picpath044
在ISA服务器导入证书
clip_p_w_picpath046
在ISA服务器导入成功
clip_p_w_picpath048
在ISA服务器下载证书链,并且安装
clip_p_w_picpath050
安装证书链,到受信认的根颁发机构
clip_p_w_picpath052
安装成功:
clip_p_w_picpath054
5、 ISA 服务器上,发布内部 SSL 网站
新建一个发布网站规则
clip_p_w_picpath056
clip_p_w_picpath058
clip_p_w_picpath060
clip_p_w_picpath062
确保ISA服务器能把 www.zl.com解析成WEB服务器内网地址.
clip_p_w_picpath064
clip_p_w_picpath066
clip_p_w_picpath068 clip_p_w_picpath070
clip_p_w_picpath072 clip_p_w_picpath074
clip_p_w_picpath076
选择前面安装的WEB服务器的证书
clip_p_w_picpath078
clip_p_w_picpath080
clip_p_w_picpath082
clip_p_w_picpath084
clip_p_w_picpath086
clip_p_w_picpath088
clip_p_w_picpath090
clip_p_w_picpath092 clip_p_w_picpath094
6、 WAN PC 测试网站发布是否成功
修改WAN PC计算机的hosts文件。
clip_p_w_picpath096
clip_p_w_picpath098
这是因为 IE 不信任 CA 服务器
clip_p_w_picpath100
clip_p_w_picpath102
在客户端下载CA服务器证书链,并安装到受信任的颁发机构。
clip_p_w_picpath104