ISA Server 2004 中发布多个 Web 站点.doc

使用通配符证书在 ISA Server 2004 中发布多个 Web 站点 使用单一证书发布多个安全的 Web 站点 简介 用户常常提出这样一个请求，那就是想获得更多关于如何使用单一 IP 地址在防火墙的外部接口上发布多个安全 Web 站点的信息。ISA Server 2000 和 ISA Server 2004 有一个共同点，那就是一个证书只能绑定一个 Web 侦听器。如果您将一个单一的 IP 地址绑定到 ISA Server 2000 或 ISA Server 2004 防火墙的外部接口，则可以发布一个单一的安全 Web 站点。 之所以一个 IP 地址只能发布一个安全 Web 站点的原因就在于外部用户发送请求的目标 Web 站点必须与证书中所列的站点名称相匹配。证书中所列的这个站点名称被称为公用名。例如，如果您想发布一个 Web 站点，并想让用户通过 来访问这个站点，那么 Web 站点证书中的公用名就必须是 。如果您想使用同一个 Web 侦听器为 也发布一个安全站点，那是不可能成功的，因为证书中的公用名与用户请求中的名称不匹配。 真正安全的 Web 发布要求在 Internet 用户和 ISA 防火墙的外部接口之间，以及 ISA 防火墙的内部接口与内部网络的 Web 站点之间强制使用 SSL。端对端的安全性被称为 SSL 到 SSL 的桥接。ISA 防火墙与其类别中其他防火墙的不同之处是 ISA 防火墙在穿越防火墙时可以真正穿透 SSL 流。攻击者在 SSL 隧道中不能隐藏其攻击脚本。 当您执行 SSL 到 SSL 的桥接时，Web 站点上证书的名称与将请求转发给 Internet Web 服务器时所使用的名称应当相同。下图显示了请求路径和所需的证书。 1. 客户端向 发送了一个 HTTPS 请求，请求访问一个 OWA Web 站点。 2. 请求到达 ISA Server 2004 防火墙的外部接口，并被 OWA Web 发布规则的 Web 侦听器截获。“OWA Web 发布”规则所使用的 Web 侦听器具有一个与之相绑定的 Web 站点证书。证书中的公用名是 。请求中的名称与 Web 侦听器所绑定 Web 站点证书中的公用名相匹配。 3. “OWA Web 发布”规则被配置为将请求转发至内部网络中的 OWA 站点。ISA Server 2004 防火墙中的“Web 发布”规则被配置为将请求转发至 ，此名称与外部接口所绑定的 Web 站点证书中的名称，以及源用户请求所使用的名称均相同。 4. 请求被转发至内部网络中的 OWA 站点。OWA Web 站点也有一个与之相绑定的 Web 站点证书。证书中的公用名为 。此名称与源客户端请求中的名称、接受请求的 Web 侦听器所绑定的证书中的名称，以及 Web 发布规则（用于将请求重定向至内部网络中的 OWA Web 站点）中使用的名称均匹配。如果所有名称均匹配，且用户通过了身份验证，则服务器将接受此连接请求。 查看大图 如果请求中的名称与证书中的公用名不匹配，则会出现错误。例如，如果 ISA Server 2004 防火墙中的 Web 发布重定向规则被配置为将请求转发至 OWASERVER1，则内部网络中的 Web 站点从 ISA Server 2004 防火墙所接收请求中的名称将不匹配，会生成服务器错误 500。 现在，让我们再仔细研究一下这种方案，即用一个只能在 ISA Server 2000 或 ISA Server 2004 防火墙上绑定一个证书的单一 Web 侦听器来发布两个安全 Web 站点，找到问题的症结所在。下图解释了这种配置。 1. Internet 上的客户端向 发出一个请求。 2. ISA Server 2004 防火墙外部接口上的 Web 侦听器有一个与之相绑定的 Web 站点证书，其中的公用名为 。 3. ISA Server 2004 中的“Web 发布”规则被配置为将请求重定向至 。名称 被解析为内部网络中 OWA Web 服务器的 IP 地址。 4. 内部网络中的 OWA Web 站点具有一个与之相绑定的证书，其中的公用名为 。如果用户的身份成功通过验证的话，则服务器将接受此请求。 5. Web 客户端向 发出一个请求。 6. ISA Servr 2004 防火墙上的 Web 侦听器具有一个与之相绑定的证书，其中的公用名为 。此请求将被拒绝，这是因为请求中的名称与 Web 侦听器所绑定证书中的公用名不相同。 此示例说明了您不能使用单一证书发布两个具有不同名称的不同 Web 站点。 查看大图 还有一个可能发生问题的环节，那就是当证书能够正确匹配，但重定向的配置不正确的时候。下图解释了这种情况发生时的情形。 1. In