利用ISA防火墙发布企业安全的网站服务器
2009-01-09 09:24
441 查看
我们使用http来访问网站,现在我们不允许使用http来访问了,要求使用https://www.itet.cn来访问,要求内网用户的意义不大,主要要求的是外网用户。 思路:用户在家里通过客户端来访问购物网当当网的服务器,当用户输入卡号以及密码的时候,当当网会查看卡为有效卡。此时数据均为明文传输。
现在我们在中间加一个防火墙
1,首先,客户端请求与当当网连接2,当当网将公钥传给客户端3,客户端用当当网的公钥加密4,将加密后的信息传给当当网我们需要将当当网发布到防火墙外网上,整个实验也就是说,内网存在一个https网站,我们要把它发布出来。我们需要证书2个,网站证书与CA证书https称为SSL安全套接层,用的是443端口实验拓扑图如下:[/b][/b]
实验步骤[/b][/b]第一步:在PERTH上搭建SSL网站第二步:将网站的证书,导到ISA(Florence)上第三步:将CA的证书导到ISA上第四步:发布https第五步:客户端测试(客户端测试的时候,将CA证书导到客户端,这个步骤应该是用代码实现的,不应该客户端自己做,应该是有个链接的,可以自动安装的)注意:实验步骤的顺序是不能错的! CA与防火墙是有冲突的,所以先要卸掉防火墙第一步[/b]:在perth上要有一个CA服务器 开始----设置----控制面板----添加删除程序----添加删除windows组件----证书服务----是----下一步----下一步----是CA是依附于默认网站的,所以启动默认网站,此时会发现多一个Certsrv文件
我们现在开始搭建SSLitet网站----右击----属性---目录安全性----服务器证书----新建证书----现在备书请求----下一步----名称无所谓下一步----单位itet部门network----公用名称(客户端怎么访问就怎么写,注意不能错)www.itet.cn----下一步----国家CN中国 省bj市bj----下一步----生成的基本信息----下一步----完成----确定
在IE输入http://10.10.10.2/certsrv----申请一个证书----使用 base64编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。----找到C盘根目录下的certreq.txt复制粘贴----提交----您申请的ID为2 开始----程序----管理工具----证书颁发机构----挂起的申请----右击----所有任务颁发IE输入10.10.10.2/certsrv查看挂起的证书申请状态---保存的申请证书---下载证书--保存到C盘根目录
在IIS上,itet右击----属性---目录安全性----服务器证书---下一步----处理挂起的请求并安装证书----下一步----c:\certnew.cer----下一步----443端口----下一步----下一步----完成
在IE输入https://www.itet.cn,没有出来,需要修改hosts文件,加入10.10.10.2 www.itet.cn 出现了小锁,即可靠的SSL。
第二步:[/b]导出网站的证书 [/b]Perth上:IIS----itet右击----属性----目录安全性----服务器证书----将当前证书导出到一个.pfx文件----下一步----C盘根目录----下一步----密码123----下一步----下一步----完成----确定 Florence上运行 ---- \\10.10.10.2\c$ 输入用户名和密码,将导出的问件复制到ISA上,复制到C盘根目录上
第三步[/b]:ISA要导入这个文件 [/b] 运行---mmc(微软的管理控制平台) ---文件---添加删除管理单元---添加证书---添加---计算机帐户---下一步---本地计算机---完成---关闭---确定个人---右击---所有任务---导入---下一步---选择.pfx文件---下一步---密码123---下一步---将所有证书放入下列存储- 个人---下一步---下一步---导入成功
受信任的根证书颁发里面没有wangchunyanCA,而Florence访问10.10.10.2/certsrv也访问不了,需要做一个访问规则 防火墙策略----新建访问规则---名称:ISA可以访问内网----下一步----允许----所有出站通讯----下一步----访问规则源 本地主机----访问规则目标 内部----下一步----所有用户----下一步----完成----应用此时IE 输入10.10.10.2/certsrv可以访问成功了 下载一个CA证书----下载CA证书------保存到C盘根目录(可以加个后缀来区分)----保存导入一次:受信任的根证书颁发下面的证书----所有任务----导入----刚才下载并保存到C盘根目录的那个证书----打开----下一步----受信任的根证书颁发机构----下一步----完成----导入成功
第四步:[/b]发布 做一个发布规则 防火墙策略----新建----安全WEB服务器发布规则----名称:发布perth上的https----下一步----SSL桥----下一步----允许----下一步----加密到客户端和WEB服务器的连接----下一步----计算机名或IP地址www.itet.cn(做到这一步要保证pingwww.itet.cn解析为10.10.10.2,如果没有,那么修改hosts文件,加入10.10.10.2www.itet.cn即可)“√”转发原始主机头而不是上面的值,路径/*----下一步----公用名称www.itet.cn----下一步----WEB侦听器----新建一个listen 443----下一步----外部----下一步----启用SSL443 证书选择----确定----完成----下一步----所有用户----完成----应用
第五步:[/b]客户端测试将Florence上的证书certsrv复制到Berlin上一份(经过物理机空投)Berlin也要导入:运行----mmc----文件----添加删除管理单元----添加----证书----添加----计算机帐户----下一步----本地计算机----完成----关闭----确定受信任的根证书的颁发机构下面的证书----右击----所有任务----导入----选择C:\----下一步----完成----确定IE输入https://www.itet.cn出来了,成功
本文出自 “Beastears” 博客,转载请与作者联系!
现在我们在中间加一个防火墙
1,首先,客户端请求与当当网连接2,当当网将公钥传给客户端3,客户端用当当网的公钥加密4,将加密后的信息传给当当网我们需要将当当网发布到防火墙外网上,整个实验也就是说,内网存在一个https网站,我们要把它发布出来。我们需要证书2个,网站证书与CA证书https称为SSL安全套接层,用的是443端口实验拓扑图如下:[/b][/b]
实验步骤[/b][/b]第一步:在PERTH上搭建SSL网站第二步:将网站的证书,导到ISA(Florence)上第三步:将CA的证书导到ISA上第四步:发布https第五步:客户端测试(客户端测试的时候,将CA证书导到客户端,这个步骤应该是用代码实现的,不应该客户端自己做,应该是有个链接的,可以自动安装的)注意:实验步骤的顺序是不能错的! CA与防火墙是有冲突的,所以先要卸掉防火墙第一步[/b]:在perth上要有一个CA服务器 开始----设置----控制面板----添加删除程序----添加删除windows组件----证书服务----是----下一步----下一步----是CA是依附于默认网站的,所以启动默认网站,此时会发现多一个Certsrv文件
我们现在开始搭建SSLitet网站----右击----属性---目录安全性----服务器证书----新建证书----现在备书请求----下一步----名称无所谓下一步----单位itet部门network----公用名称(客户端怎么访问就怎么写,注意不能错)www.itet.cn----下一步----国家CN中国 省bj市bj----下一步----生成的基本信息----下一步----完成----确定
在IE输入http://10.10.10.2/certsrv----申请一个证书----使用 base64编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。----找到C盘根目录下的certreq.txt复制粘贴----提交----您申请的ID为2 开始----程序----管理工具----证书颁发机构----挂起的申请----右击----所有任务颁发IE输入10.10.10.2/certsrv查看挂起的证书申请状态---保存的申请证书---下载证书--保存到C盘根目录
在IIS上,itet右击----属性---目录安全性----服务器证书---下一步----处理挂起的请求并安装证书----下一步----c:\certnew.cer----下一步----443端口----下一步----下一步----完成
在IE输入https://www.itet.cn,没有出来,需要修改hosts文件,加入10.10.10.2 www.itet.cn 出现了小锁,即可靠的SSL。
第二步:[/b]导出网站的证书 [/b]Perth上:IIS----itet右击----属性----目录安全性----服务器证书----将当前证书导出到一个.pfx文件----下一步----C盘根目录----下一步----密码123----下一步----下一步----完成----确定 Florence上运行 ---- \\10.10.10.2\c$ 输入用户名和密码,将导出的问件复制到ISA上,复制到C盘根目录上
第三步[/b]:ISA要导入这个文件 [/b] 运行---mmc(微软的管理控制平台) ---文件---添加删除管理单元---添加证书---添加---计算机帐户---下一步---本地计算机---完成---关闭---确定个人---右击---所有任务---导入---下一步---选择.pfx文件---下一步---密码123---下一步---将所有证书放入下列存储- 个人---下一步---下一步---导入成功
受信任的根证书颁发里面没有wangchunyanCA,而Florence访问10.10.10.2/certsrv也访问不了,需要做一个访问规则 防火墙策略----新建访问规则---名称:ISA可以访问内网----下一步----允许----所有出站通讯----下一步----访问规则源 本地主机----访问规则目标 内部----下一步----所有用户----下一步----完成----应用此时IE 输入10.10.10.2/certsrv可以访问成功了 下载一个CA证书----下载CA证书------保存到C盘根目录(可以加个后缀来区分)----保存导入一次:受信任的根证书颁发下面的证书----所有任务----导入----刚才下载并保存到C盘根目录的那个证书----打开----下一步----受信任的根证书颁发机构----下一步----完成----导入成功
第四步:[/b]发布 做一个发布规则 防火墙策略----新建----安全WEB服务器发布规则----名称:发布perth上的https----下一步----SSL桥----下一步----允许----下一步----加密到客户端和WEB服务器的连接----下一步----计算机名或IP地址www.itet.cn(做到这一步要保证pingwww.itet.cn解析为10.10.10.2,如果没有,那么修改hosts文件,加入10.10.10.2www.itet.cn即可)“√”转发原始主机头而不是上面的值,路径/*----下一步----公用名称www.itet.cn----下一步----WEB侦听器----新建一个listen 443----下一步----外部----下一步----启用SSL443 证书选择----确定----完成----下一步----所有用户----完成----应用
第五步:[/b]客户端测试将Florence上的证书certsrv复制到Berlin上一份(经过物理机空投)Berlin也要导入:运行----mmc----文件----添加删除管理单元----添加----证书----添加----计算机帐户----下一步----本地计算机----完成----关闭----确定受信任的根证书的颁发机构下面的证书----右击----所有任务----导入----选择C:\----下一步----完成----确定IE输入https://www.itet.cn出来了,成功
本文出自 “Beastears” 博客,转载请与作者联系!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 利用ISA防火墙发布企业安全的网站服务器
- 利用Exchange Server 2003 搭建安全的企业邮件服务器--使用双宿主Exchange服务器
- MSBuilder(1)--------利用vs2005发布asp.net网站到远程服务器上
- 利用vs2005发布asp.net网站到远程服务器上
- 利用本地服务器发布网站,IIS配置+花生壳映射服务(附带视频)
- 利用apache服务器发布网站
- 社交网站部署——SVN服务器搭建并发布上线
- 在自己的电脑上搭建服务器,发布自己的网站(学习之用)
- VS2013 利用msvsmon远程调试发布到服务器IIS上程序环境配置
- 关于在服务器上发布网站遇到的两个问题之解决方案
- 内网发布外网访问+免费域名+tomcat+本地电脑做服务器搭建网站
- 解密SSL证书为何对企业网站安全如此重要
- Linux——实现网站发布服务器
- 层次化防御保证企业门户网站安全
- 申请TK免费顶级域名,利用nat123端口映射,在内网发布网站,做网站服务
- [学习windows/记录篇]使用TMG防火墙发布网站服务器
- [学习windows/记录篇]使用tmg三向外围发布ssl安全的web网站
- 利用Windows服务器发布网站
- 大数据早报:摩拜发布十一大数据预测报告 阿里云发布史上最强企业云安全架构(9.30)
- 服务器发布网站