安全Web服务发布: 发布模式: 桥接模式 隧道模式  桥接模式: 类似于Web服务发布 ISA防火墙对客户发起的SSL连接进行应用层过滤;然后将其重新加密后转发到被发布的Web服务器: 加密到客户端的连接 加密到Web服务器的连接 加密到客户端和Web服务器的连接  隧道模式: ISA防火墙直接将客户发起的SSL连接转发到被发布的Web服务器,不进行应用层过滤  在Web侦听器上绑定有效的服务器身份验证证书(信任其CA并具有私钥): 导出安全Web服务器的证书  使用其他公共名称的证书: 申请通配符证书  ISA防火墙访问内部的安全Web服务时,不能出现任何错误提示。发布安全Web服务-->类似于发布Web服务 
  如何发布一个安全的Web服务器呢?
20031523
  我现在来到一台完全计算机名称叫做London.yejunsheng.com  它是一台GC服务器、CA服务器、Web服务器同时是第一台Exchange服务器(Exchange后端服务器)  我已经在这台计算机上打上Exchange Server 2003 SP1补丁了  通过开始--程序--管理工具--按Internet信息服务(IIS)管理器来打开它  我已经新建一个叫做 www.yejunsheng.com 的网站了  展开网站--对着 www.yejunsheng.com 右键--选择属性--按目录安全性--在身份验证和访问控制里面按编辑--把启用匿名访问的沟去掉--把基本身份验证沟上--在默认域里面选择一个域名(yejunsheng.com)--在安全通信里面按查看证书可以看到我已经在这个网站里面申请了一个叫做london.yejunsheng.com的证书了--在安全通信里面按编辑--把要求安全通道(SSL)沟上  按确定
20031524
  我现在来到一台计算机名称叫做Florence的计算机  它是第一台ISA Server 2004服务器并且是配置存储服务器  我已经把这台ISA服务器加入yejunsheng.com这个域中了  注意: 在发布安全的Web服务器之前需要把CA服务器的根证书导入ISA服务器的受信任的根证书颂发机构里面  通过开始--运行--输入mmc按确定来打开控制台--按文件--按添加/删除管理单元--在添加/删除管理单元里面按添加--在添加独立管理单元里面按证书--按添加--在该管理单元将始终为下列账户管理证书里面选择计算机账户--接着下一步--在这个管理单元将始终管理里面选择本地计算机(运行这个控制台的计算机)  按完成  展开证书(本地计算机)--受信任的根证书颁发机构--对着证书右键--选择所有任务--按导入--接着下一步--按浏览--找到CA服务器的根证书(London.yejunsheng.com_London CA.crt)--按打开--接着下一步  按完成就ok了  在受信任的根证书颁发机构里面可以看到我已经将CA的根证书导入受信任的根证书颁发机构里面了-->London CA 
20031525
  我已经在ISA服务器上新建一条阵列访问规则来允许http https ping这三种协议从本地主机到企业内部了  打开IE浏览器--在地址里面输入 https://london.yejunsheng.com/ 按回车键--输入用户名(administrator)和密码  按确定  可以看到ISA服务器能够访问到企业内部的Web服务器了--按default.html--可以看到我在Web服务器的网站里面输入的内容-->This is a Secure Web Site! 
20031526
  在发布安全的Web服务器之前需要在ISA服务器上绑定一个公共名称的证书  我现在为这台ISA服务器申请一个公共名称的证书--打开IE浏览器--在地址里面输入 http://london.yejunsheng.com/certsrv/ 按回车键--输入用户名(administrator)和密码  按确定  在选择一个任务里面按申请一个证书
20031527
  在申请一个证书里面按高级证书申请--在高级证书申请里面按创建并向此CA提交一个申请 
20031528
  在证书模板里面选择Web服务器--用于脱机模板的识别信息里面的姓名就叫做 www.yejunsheng.com (公共名称)吧--把将证书保存在本地计算机存储中沟上--按提交  此时它提示此网站正在代表您请求一个新的证书。您应该只允许信任的网站为您请求证书。您想现在请求证书吗?  你按是
20031502
  按安装此证书--此时它提示您想让此程序现在添加证书吗? 如果您信任此网站,请单击"是"。否则,请单击"否"  你按是就ok了  通过开始--运行--输入mmc按确定来打开控制台--按文件--按添加/删除管理单元--在添加/删除管理单元里面按添加--在添加独立管理单元里面按证书--按添加--在该管理单元将始终为下列账户管理证书里面选择计算机账户--接着下一步--在这个管理单元将始终管理里面选择本地计算机(运行这个控制台的计算机)--按完成--按闭关--按确定  展开证书(本地计算机)--个人--按证书--可以看到我刚才申请的公共名称( www.yejunsheng.com )证书了
20031529
  我现在来发布一个安全Web服务器  对着防火墙策略(FLORENCE)右键--按新建--选择安全Web服务器发布规则--SSL Web发布规则名称就叫做Publish a secure web site吧  接着下一步
20031530
  在发布模式里面选择SSL桥  接着下一步  在符合规则条件时要执行的操作里面选择允许  接着下一步
20031531
  在桥接模式里面选择加密到客户端和Web服务器的连接  接着下一步
20031532
  注意: 在计算机名称或IP地址里面一定要输入被发布的安全Web服务器的计算机名称(london.yejunsheng.com)  为什么要输入完全计算机名称呢?  因为ISA服务器会使用完全计算机名称来访问被发布的安全Web服务器 如果你输入IP地址的话肯定会出现错误的 只要出现错误提示 ISA服务器就会访问失败的  接着下一步
20031533
  在公共名称里面输入申请证书时候的名称( www.yejunsheng.com )  接着下一步
20031534
  在Web侦听器里面按新建--Web侦听器名称就叫做external 443吧  接着下一步 
20031535
  在侦听来自这些网络的请求里面把外部沟上  接着下一步
20031536
  在端口指定里面把启用SSL沟上--按选择--按 www.yejunsheng.com 这个证书--按确定  接着下一步
20031537
  按完成  接着下一步  在此规则应用于来自下列用户集的请求里面保留默认值(所有用户)  接着下一步
20031538
  这是最后一步了  按完成  在ISA服务器管理里面按一下应用
20031539
  我现在来到一台计算机名称叫做Internet的计算机  它是一台外部的计算机  打开IE浏览器--在地址里面输入 https://www.yejunsheng.com/ 按回车键--输入用户名(administrator)和密码  按确定  看到了吗?  现在已经可以访问到企业内部的那台Web服务器的网站了--按default.html--可以看到我在网站里面输入的内部了-->This is a Secure Web Site!  注意: 我已经拿CA根证书在这台计算机上导入受信任的颁发机构里面了  一定需要在这台计算机上安装CA根证书 否则的话是不能访问到企业内部的那台Web服务器的网站 
  Exchange服务发布: OWA发布  在将客户请求转发到Exchange服务器之前,ISA防火墙对它进行身份验证和应用层过滤,从而保证了Exchange服务器的安全。OWA发布: OWA身份验证和安全Web服务发布的结合-->满足安全Web发布的要求 Exchange服务器上不能同时启用OWA验证 仅发布以下三个路径: /exchange/*  /exchweb/*  /public/*
  如何发布一个安全的OWA呢?
20031540
  在ISA服务器管理里面按防火墙策略(FLORENCE)--在右边任务选项的阵列策略任务里面按发布一个邮件服务器--邮件服务器发布规则向导名称就叫做Publish a secure OWA吧  接着下一步 
20031541
  在选择访问类型里面选择Web客户端访问  接着下一步
20031542
  在Web客户端邮件服务里面保留默认值(沟上Outlook Web Access)  接着下一步
20031543
  要桥接模式里面选择加密到客户端和邮件服务器的连接  接着下一步
20031544
  在Web邮件服务器里面输入企业内部Exchange服务器的完全计算机名称(london.yejunsheng.com)  接着下一步
20031545
  在公共名称里面输入申请证书时候的公共名称( london.yejunsheng.com)   注意: 我已经在这台ISA服务器上申请一个公共名称叫做london.yejunsheng.com的证书了  接着下一步
20031548
  在Web侦听器里面选择刚才新建的侦听器(external 443)--按编辑--在证书里面按选择--按london.yejunsheng.com这个证书--按确定--在配置允许的身份验证方法里面按身份验证--把集成的沟去掉--沟上OWA Forms-Based启用基于窗体的(cookie)身份验证--在为身份验证选择一个默认域里面按选择--在域名里面输入yejunsheng.com  按确定  接着下一步  在此规则应用于来自下列用户集的请求里面保留默认值(所有用户)  接着下一步
20031547
  这是最后一步了  按完成  在ISA服务器管理里面按一下应用 
20031546
  我来到一台计算机名称叫做Internet的计算机  它是一台外部的计算机  打开IE浏览器--在地址里面输入 https://london.yejunsheng.com/exchange 按回车键--输入域\用户名(yejunsheng\administrator)按登录  看到了吗?  现在已经可以访问到企业内部的Exchange服务器--可以看到Administrator的邮箱了   
  Exchange RPC发布: 对于基于状态过滤的防火墙而言,为了允许RPC协议通讯需要开放所有高端端口(1024~65535);因此很多防火墙管理员关闭了RPC协议通讯  ISA防火墙具有强大的RPC应用层过滤功能,确保了RPC协议通讯的安全: 识别客户所发起的RPC通讯并进行应用层过滤 动态开放RPC协议通讯所需要的高端端口 可以强制要求加密RPC协议通讯(将禁止DCOM访问)
  如何发布Exchange RPC服务呢?
20031549
  我来到ISA服务器这边  对着防火墙策略(FLORENCE)右键按新建--选择邮件服务器发布规则--邮件服务器发布规则向导名称就叫做Publish Exchange RPC吧  接着下一步
20031550
  在选择访问类型里面选择客户端访问: RPC,IMAP,POP3,SMTP  接着下一步
20031551
  在选择服务里面保留默认值(沟上Outlook(RPC))  接着下一步
20031552
  在服务器IP地址里面输入企业内部的Exchange服务器IP地址(10.2.1.2)  接着下一步
20031553
  在侦听来自这些网络的请求里面把外部沟上  接着下一步
20031554
  这是最后一步了  按完成  在ISA服务器管理里面按一下应用 
20031555
  我现在来到一台计算机名称叫做Internet的计算机  它是一台外部的计算机  我已经在这台计算机上安装Outlook 2003了  通过开始--设置--按控制面板--双击邮件--在邮件里面按添加--配置文件名称就叫做RPC吧--按确定 
20031556
  在电子邮件里面保留默认值(添加新电子邮件账户)  接着下一步
20031557
  在服务器类型里面选择Microsoft Exchange Server  接着下一步
20031558
  在Microsoft Exchange Server里面输入企业内部的Exchange服务器完全计算机名称(london.yejunsheng.com)--在用户名里面输入administrator--按检查姓名--输入用户名(administrator)和密码  按确定
20031559
  可以看到它提示祝贺您! 您已成功地输入了设置账户所需要的所有信息。按完成
20031560
  我现在打开Outlook 2003  看到了吧? 可以看到Administrator的邮箱了 表示已经正常连接到企业内部的Exchange服务器了  按住Ctrl键不放--然后按右下角的Outlook图标--按连接状态  可以看到是使用TCP/IP协议建立连接的--表示是基于RPC的方式连接 
20031562
  我现在使用一个叫做Exchange RPC User的用户登录OWA--然后给Administrator发送一封邮件--在OWA界面里面按新建--在收件人里面输入Administrator  主题和内容都输入Test Exchange RPC吧  按发送
20031563
  看到了吗?  现在已经成功使用Outlook 2003收到Exchange RPC User这个用户发送的电子邮件了--在收件箱里面打开这封邮件--可以看到我刚才输入的内容了-->Test Exchange RPC 
  RPC over HTTP的功能: Outlook的请求封装在HTTP: 代理Outlook 2003的通讯透过互联网访问Exchange 2003  不必为实现内外一致的消息协作而使用×××  分支机构,在家办公的用户,移动的用户   安全性与认证: SSL(HTTPS)  NTLM by default(Basic is also avail.) 
  RPC/HTTP对系统的要求: 服务器端: Windows 2003+Exchange 2003  Windows 2003+Exchange 2003前端(建议配置为代理)  Windows 2003+Exchange 2003后端  GC服务器必须是Windows 2003   客户端: Windows XP with Service Pack 1+Q331320  Outlook 2003
  配置RPC over HTTP: 配置FE(如果有)服务器做为RPC代理  申请并安装Web证书  在IIS中配置RPC虚拟目录的认证方式  修改注册表,明确Proxy Server与BE和GC之间通讯所使用的端口  在内部FW上打开指定的端口  设置移动客户的Outlook的配置文件-->见下图:
        20031564
  如何使用ISA发布Exchange的RPC over HTTPS呢?
20031566
  我现在来到一台计算机名称叫做london的计算机  它是一台GC(全局编录服务器)并且是第一台Exchange Server 2003服务器(Exchange后端服务器)  它同时是一台CA服务器  我已经在这台服务器打上Exchange Server 2003 SP1补丁了  首先需要安装HTTP代理上的RPC  通过开始--设置--按控制面板--双击添加或删除程序--在添加或删除程序里面按添加/删除Windows组件--按网络服务--按详细信息--把HTTP代理上的RPC沟上--按确定  接着下一步进行安装  安装完成之后就在默认网站里面创建一个叫做Rpc的虚拟目录
20031567
  通过开始--程序--管理工具--选择Internet信息服务(IIS)管理器  展开网站--默认网站--对着Rpc这个虚拟目录右键--选择属性  在Rpc属性里面按目录安全性--在身份验证和访问控制里面按编辑--把启用匿名访问的沟去掉--把基本身份验证(以明文形式发送密码)沟上--在默认域里面按选择--按yejunsheng.com(域名)--按确定  
20031568
  在Rpc属性的目录安全性选项的安全通信里面按查看证书--可以看到我已经在默认网站里面申请一个叫做london.yejunsheng.com的证书了--在安全通信里面按编辑--把要求安全通道(SSL)沟上-->也就是说只能使用https才能够访问  使用http是不能访问的  这样的好处就是更加安全了  按确定
20031489
  此时我们就需要在london这台Exchange服务器添加一些端口了  首先要安装Windows Server 2003 Resource Kit这个工具--然后通过开始--运行--输入cmd按确定来打开命令提示符--在命令提示符里面输入cd \按回车键--输入cd "Program Files"按回车键--输入cd "Windows Resource Kits"按回车键--输入cd Tools按回车键--输入rpccfg.exe /hd  可以看到london这台Exchange服务器当前使用的端口范围是100-5000  输入rpccfg.exe /hr london按回车键把100-5000这个范围的端口删除掉  输入rpccfg.exe /hd按回车键--可以看到There are no settings to display-->表示没有任何设置显示了  这个时候我们就可以把那些进行访问的端口添加进来了  输入rpccfg.exe /ha london 593 6001 6002 6004按回车键  输入rpccfg.exe /ha london.yejunsheng.com 593 6001 6002 6004按回车键  最后输入rpccfg.exe /hd按回车键--可以看到已经成功把593 6001 6002 6004这4个进行访问的端口添加进来了     注意: london是NetBIOS名称 london.yejunsheng.com是主机名称  593是LDAP访问DC所使用的端口 6001和6002这两个端口是用于访问Exchange的后端服务器 6004是用于访问GC这台服务器所使用的端口  
20031569
  我刚才添加的那些端口实际上是修改了注册表  通过开始--运行--输入regedit按确定来打开注册表编辑器  在注册表编辑器的左下角那个路径里面双击ValidPorts--可以看到在ValidPorts里面的数值数据就是我刚才所添加的端口  也就是说我刚才使用rpccfg.exe这个工具所做的操作是可以不用工具而直接使用注册表编辑器在ValidPorts这个键值里面添加593 6001 6002 6004这几个端口的 当然我们不建议这样操作的 如果你手动编辑的话 很容易出错误的  另外还有一件事情就是需要在GC这台计算机指定在6004端口侦听Rpc代理服务器发送给我的请求  实际上london这台计算机就是GC  所以我只在这台计算机上指定在6004端口侦听Rpc代理服务器发送给我的请求就可以了
20031570
  在注册表编辑器左下角那个路径对着Parameters右键按新建--选择多字符串值--数值名称叫做NSPI interface protocol sequences--在数值数据里面输入ncacn_http:6004  按确定 
20031571
  打开Exchange系统管理器--展开服务器对着LONDON右键--选择属性  在LONDON属性里面按RPC-HTTP  因为现在这台Exchange服务器是Exchange后端服务器 所以我就选择RPC-HTTP后端服务器了  按确定  注意: 此时需要将这台Exchange服务器重新启动一下才能对刚才所做的操作生效  默认情况下在服务器属性里面是没有RPC-HTTP这一项的  你需要打上Exchange Server 2003 SP1补丁才出现这一项的 
20031572
  我来到一台计算机名称叫做Florence的计算机  它是第一台ISA服务器并且是配置存储服务器  我已经把这台ISA服务器加入yejunsheng.com这个域中了  我现在来做一个安全的Web发布就是把london那台Exchange服务器的Rpc虚拟路径发布到互联网而且发布的时候是使用HTTPS去做发布的  打开ISA服务器管理--展开阵列--FLORENCE--按防火墙策略(FLORENCE)--在右边任务选项的阵列策略任务里面按发布安全的Web服务器--SSL Web发布规则名称就叫做Publish mail(RPC over HTTPS)吧  接着下一步
20031573
  在发布模式里面选择SSL桥  接着下一步  在符合规则条件时要执行的操作里面选择允许  接着下一步
20031574
  在桥接模式里面选择加密到客户端和Web服务器的连接  接着下一步
20031575
  在计算机名称或IP地址里面输入london.yejunsheng.com(企业内部的Exchange服务器的完全计算机名称)  在路径里面输入rpc/*  接着下一步  注意: 在计算机名称或IP地址里面不能输入Exchange服务器的IP地址  因为我当前申请的证书是针对主机名申请的  假如输入IP地址的话 会出现证书不一致的问题 所以一定是输入计算机名称才行的  
20031576
  因为我以前已经在这台ISA服务器上申请了一个公共名称叫做 www.yejunsheng.com 的证书了  所以在公共名称里面输入 www.yejunsheng.com   接着下一步
20031577
  在Web侦听器里面按新建--Web侦听器名称就叫做external 443吧  接着下一步
20031578
  在侦听来自这些网络的请求里面把外部沟上  接着下一步
20031579
  在端口指定里面沟上启用SSL--在证书里面按选择--按公共名称叫做 www.yejunsheng.com 这个证书--按确定  接着下一步
20031580
  按完成 
20031581
  在external 443这个Web侦听器右边按编辑--按首选项--按身份验证--把集成的沟去掉--把基本沟上--按确定  接着下一步  在此规则应用于来自下列用户集的请求里面保留默认值(所有用户)  接着下一步
20031582
  这是最后一步了  按完成  在ISA服务器管理里面按一下应用
20031583
  我来到一台计算机名称叫做Internet的计算机测试一下是否ISA服务器已经成功把Exchange服务器的RPC over HTTPS发布出去了  通过开始--设置--按控制面板--双击邮件--在邮件设置里面按显示配置文件
20031584
  在邮件里面按添加--配置文件名称就叫做RPC over HTTPS吧--按确定 
20031585
  在电子邮件里面保留默认值(添加新电子邮件账户)  接着下一步
20031586
  在服务器类型里面选择Microsoft Exchange Server  接着下一步
20031587
  在Microsoft Exchange Server里面输入企业内部Exchange服务器的完全计算机名称(london.yejunsheng.com)  在用户名里面输入Administrator  按其他设置
20031588
  在Microsoft Exchange server里面按连接--把使用HTTP连接到我的Exchange邮箱沟上--按Exchange代理服务器设置--在使用此URL连接到我的Exchange代理服务器里面输入 www.yejunsheng.com --把使用SSL连接时相互验证会话沟上--在代理服务器的主体名称里面输入msstd:www.yejunsheng.com  把在快速网络中,首先使用HTTP连接,然后使用TCP/IP连接和在低速网络中,首先使用HTTP连接,然后使用TCP/IP连接都沟上--在连接到我的Exchange代理服务器时使用此验证里面选择基本身份验证  按确定  接着下一步
20031589
  可以看到它提示祝贺您!-->您已成功地输入了设置账户所需的所有信息了  按完成
20031590
  通过开始--程序--Microsoft Office--按Microsoft Office Outlook 2003  在配置文件名称里面选择RPC over HTTPS这个配置文件  按确定
20031591
  注意: 当我们使用RPC over HTTP代理的时候 输入的用户名一定是域名\用户名-->这是一种标准的格式  所以我在用户名里面输入yejunsheng\administrator  在密码里面输入administrator的密码  按确定
20031565
  看到了吧?  现在已经可以通过RPC over HTTP访问到Administrator的邮箱了 整个访问的过程就是使用HTTPS访问的  如何证明它是使用HTTPS访问的呢?  其实也很简单的  按住Ctrl键不放--然后按一下右下角的那个Outlook图标--选择连接状态--可以看到当前是使用HTTPS建立连接的  另外还有一种证明方法就是在命令提示符里面输入netstat -na | find ":443"按回车键-->可以看到从39.1.1.8到39.1.1.1之间都是使用443端口建立连接的