配置Web站点强制使用SSL加密
现在我们可以配置Web站点使用SSL加密了,同样在目录安全性标签,点击查看证书按钮下的编辑按钮;
在弹出的安全通信对话框上,勾选要求加密通道(SSL)和要求128位加密,然后两次点击确定,回到Internet信息服务管理控制台;
现在我们在Denver上打开一个浏览器窗口,访问本机的Web服务,首先在地址栏输入http://localhost,注意看,服务器提示需要使用SSL进行访问;
于是我们使用https://localhost进行访问,弹出了警告对话框,提示证书的名字和所访问的站点名字不一致,因为我们是使用名字localhost来访问,而申请的证书名字是denver.contoso.com,点击是;
访问Web服务成功,注意看窗口右下角的小锁图标,这表明访问是通过SSL加密来进行的;
导出安全Web站点的Web服务器证书(包含站点的私钥)
在使用桥接模式发布安全Web服务时,ISA防火墙模拟Web服务器和客户建立SSL连接,因此ISA防火墙需要将Web服务器的证书绑定在Web侦听器上。在你导出证书时,必须导出Web站点的私钥,否则你将不能绑定此证书到ISA防火墙的Web侦听器上。
还是在默认站点属性的目录安全性标签,点击查看证书,
然后在证书的细节标签,点击复制到文件...按钮;
在弹出的欢迎使用证书导出向导页,点击下一步;
在导出私钥页,选择是,导出私钥,然后点击下一步;
在导出文件格式页,选择个人信息交换PKCS #12 (.PFX)选项,然后勾选如果可能则包含证书路径中的所有证书,取消勾选启用加强保护(需要IE 5.0, NT 4.0 SP4 或更高),点击下一步;
在密码页,输入并确认证书的密码,点击下一步;
在导出文件页,在文件名文本框中输入c:1,点击下一步;
在正在完成证书导出向导页点击完成;
在证书对话框中点击确定,然后将c:1.pfx文件复制到ISA防火墙计算机上。
导入安全Web站点的证书到ISA防火墙计算机中
现在我们需要将Web服务器证书导入到ISA防火墙中,运行mmc,然后在文件菜单中点击添加/删除管理单元,然后在添加/删除管理单元对话框点击添加按钮,选择证书,点击添加,在证书管理单元对话框,选择计算机账户,然后在选择计算机页,选择本地计算机,依次点击完成、关闭、确定完成添加管理单元的操作。
右击左面板的个人节点,指向所有任务然后点击导入;
在欢迎使用证书导入向导页,点击下一步;
在要导入的文件页,点击浏览按钮,定位到复制过来的证书文件,然后点击下一步;
在密码页,输入证书文件的密码。不要勾选标志此密钥为可导出的,这样可以保证其他人不能再次将密钥导出。点击下一步;
在证书存储页,接受默认的将所有的证书放入个人存储目录,点击下一步;
最后在正在完成证书导入向导页,点击完成;
此时你就可以在个人目录下看到导入的证书;
另外,此证书的颁发机构必须放置在受信任的根证书颁发机构目录下的证书存储区,这样ISA防火墙才能信任这个计算机证书。你可以在此证书权威的证书申请页面下载CA证书或者使用上面的Web服务器证书,右击受信任的根证书颁发机构目录下的证书,然后选择所有任务下的导入,使用和上面相同的办法来导入证书,将证书保存在此目录下即可。
