在 ISA Server 中发布安全 Web 服务Word文件下载.docx

在 ISA Server 中发布安全 Web 服务Word文件下载.docx

《在 ISA Server 中发布安全 Web 服务Word文件下载.docx》由会员分享，可在线阅读，更多相关《在 ISA Server 中发布安全 Web 服务Word文件下载.docx（30页珍藏版）》请在冰豆网上搜索。

1、确保在ISAServer上可以正常的访问内部的安全Web服务而不出现任何警告，如下图所示，我在ISAServer上可以正常的访问内部的两台安全Web服务器Chicago.isacn.org（10.1.1.7）和Istanbul.isacn.org（10.1.1.8）；

2、将颁发安全Web服务的服务器证书的证书颁发机构的CA证书导入到ISAServer本地计算机的受信任的根证书颁发机构存储中，其实这一步应该是属于上一个步骤的。

然后需要给ISAServer安装相应的服务器证书以实现外部客户和ISAServer之间的安全连接。

从理论上说，绑定在ISAServer外部接口上的服务器证书和内部安全Web服务的服务器证书是没有任何关系的，但是通常都是配置ISAServer使用内部安全Web服务的服务器证书来实现外部客户和ISAServer之间的安全连接。

在此，我先导出被发布的安全Web服务的服务器证书，注意导出时必须导出私钥，然后导入到ISAServer的本地计算机的证书存储中以便使用，如下图所示：

在做好准备工作以后，我们就可以进行安全Web服务的发布了。

一、发布单个安全Web服务

首先我以对外发布位于Istanbul.isacn.org（10.1.1.8）上的安全Web服务为例，外部的DNS服务器将域名Istanbul.isacn.org解析到ISAServer的外部IP地址172.16.0.248，外部客户通过访问此IP地址来访问被发布的安全Web服务。

在ISAServer2006管理控制台中右击防火墙策略，指向新建，选择Web站点发布规则；

在弹出的欢迎使用新建Web发布规则向导页，输入规则名称“PublishSSL”后点击下一步；

在选择规则动作页，选择允许，点击下一步；

在发布类型页，选择发布单个Web站点或负载均衡器，点击下一步；

在服务器连接安全性页，选择使用SSL来连接到被发布的Web服务器或服务器场（即使用HTTPS来连接被发布的服务器），点击下一步；

在内部发布细节第一页，在内部站点名栏输入被发布的内部Web站点的名称，ISAServer将使用此名称来连接到被发布的安全Web服务器，并且此名字必须和对应的安全Web服务器所绑定的证书的公共名字相匹配；

为了便于ISA连接到内部的安全Web服务器，建议你勾选使用计算机名或IP地址来连接到被发布的服务器，然后输入服务器的IP地址，完成后点击下一步；

在内部发布细节第二页，输入发布的内部Web站点的路径，在此我发布全部路径，因此直接点击下一步；

在公共名字细节页，选择接受外部访问请求的外部域名，在此我在接收请求栏选择以下域名，输入外部域名istanbul.isacn.org后点击下一步；

在选择Web侦听器页，点击新建按钮；

在弹出的欢迎使用新建Web侦听器向导页，输入侦听器名称后点击下一步；

在客户端连接安全性页，选择要求和客户端之间的SSL安全连接，点击下一步；

在Web侦听器IP地址页，勾选外部网络，然后点击选择IP地址按钮来配置Web侦听器侦听的IP地址；

ISAServer的外部接口具有两个IP地址，由于在此我只想将发布的安全Web服务绑定在172.16.0.248这个IP地址上，因此选择指定位于被选择的网络中的ISAServer计算机的IP地址，然后选择172.16.0.248，点击添加，然后点击确定；

然后在Web侦听器IP地址页点击下一步；

在侦听器SSL证书页，选择为每个IP地址分配一个证书，然后点击172.16.0.248，再点击选择证书，

在选择证书对话框，点击对应的服务器证书，然后点击选择，

在侦听器SSL证书页点击下一步；

在身份验证设置页，设置ISAServer2006是否对请求访问的客户进行身份验证。

需要注意的是，此身份验证是由ISAServer要求客户进行，和被发布的Web服务器没有任何关系。

不过在ISAServer2006中增强了对于身份验证委派的支持，因此你可以设置ISAServer要求客户身份验证，然后ISAServer再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器，从而避免客户端被提示要求进行多次身份验证。

在此我不需要ISA2006对客户端进行身份验证，因此选择无身份验证，点击下一步；

在单点登录设置页，由于只有基于HTTP表单的身份验证才支持SSO，因此无法进行配置，直接点击下一步；

在正在完成新建Web侦听器向导页点击完成，然后在选择Web侦听器页点击下一步；

在身份验证委派页，由于被发布的安全Web服务可能会要求客户端进行身份验证，因此我选择无委派，但是客户端可以直接进行身份验证，点击下一步；

在用户集页，接受默认的所有用户，点击下一步；

在正在完成新建Web发布规则向导页点击完成，此时Web发布规则就创建好了，点击应用保存修改和更新防火墙策略。

我们在外部网络的客户上访问进行测试，访问成功，如下图所示：

而ISA2006上的日志如下图所示：

二、发布多个安全Web服务

在此，我将利用前面创建的安全Web服务发布规则和Web侦听器，通过复制规则再发布位于Chicago.isacn.org（10.1.1.7）上的安全Web服务，外部的DNS服务器将域名Chicago.isacn.org解析到ISAServer的另外一个外部IP地址172.16.0.247，外部客户通过访问此IP地址来访问被发布的安全Web服务。

在ISA2006管理控制台的防火墙策略面板中右击刚才创建的“PublishSSL”规则，选择复制，然后再次右击，选择粘贴，此时复制出了一条安全Web发布规则，双击此规则打开规则属性对话框，首先在常规标签修改规则名称，然后在到标签修改被发布的站点名和服务器IP地址；

在公共名字标签，修改允许外部客户访问的公共名字；

然后在侦听器标签，点击属性，

在弹出的侦听器属性对话框上，点击网络标签，选择外部网络，再点击地址按钮；

在弹出的外部网络侦听器IP选择对话框上，点击172.16.0.247，然后点击添加，再点击确定；

在侦听器属性对话框上，点击证书标签，选择172.16.0.247，然后点击选择证书，

然后在侦听器属性对话框上点击确定；

最后在规则属性对话框上点击确定，然后点击应用保存修改和更新防火墙策略。

我们同样在外部网络的客户上访问进行测试，访问成功，如下图所示：