注意，我們要發(fā)布的不是Web站點，而是安全Web站點！發(fā)布安全Web站點時偵聽器需要用證書向訪問者提供×××明，問題就在這里，當(dāng)發(fā)布多個安全Web站點時，偵聽器上到底應(yīng)該使用什么樣的證書呢？ ? ?? 例如在下圖的拓?fù)渲?#xff0c;我們要在ISA上發(fā)布兩個安全Web站點，一個是Denver上的denver.contoso.com，另一個是Perth上的perth.contoso.com。我們在ISA偵聽器上使用的證書，既要能向訪問者證明自己是denver.contoso.com，又要能證明自己是perth.contoso.com。什么樣的證書才能滿足這樣的要求呢？通配符證書！通配符證書利用通配符的模糊匹配特性可以和多個Web站點匹配，例如 *.contoso.com就能同時匹配denver.contoso.com和perth.contoso.com。因此，我們只要在偵聽器中使用通配符證書，再針對每個安全Weh站點創(chuàng)建相應(yīng)的發(fā)布規(guī)則，發(fā)布多個安全Web站點的問題就解決了。 <?XML:NAMESPACE PREFIX = V /><?XML:NAMESPACE PREFIX = O />

?

一 申請通配符證書

我們?nèi)匀焕蒙掀┪闹械膶嶒灜h(huán)境，由于ISA服務(wù)器加入了域，我們可以在ISA服務(wù)器上直接申請通配符證書，在ISA服務(wù)器上用瀏覽器訪問 [url]http://denver/certsrv[/url]，如下圖所示，選擇“申請一個證書”。

?

選擇“提交一個高級證書申請”，準(zhǔn)備申請服務(wù)器證書。

?

選擇“創(chuàng)建并向此CA提交一個申請”，準(zhǔn)備手工輸入證書參數(shù)。

?

申請證書時，如下圖所示，模板選擇“Web服務(wù)器”，姓名填寫“*.contoso.com”，勾選“將證書保存在本機(jī)計算機(jī)存儲中”。注意，姓名是關(guān)鍵參數(shù)。

?

由于CA服務(wù)器的類型是企業(yè)根，因此申請的證書被自動頒發(fā)了，如下圖所示，我們選擇“安裝此證書”。

?

安裝完證書后，如下圖所示，我們在ISA的計算機(jī)存儲中已經(jīng)看到了頒發(fā)的通配符證書。

?

二 修改Web偵聽器

如下圖所示。在上篇博文中我們發(fā)布了perth上的安全Web站點，Web偵聽器使用的證書也是由perth導(dǎo)出的，現(xiàn)在我們要修改Web偵聽器使用的證書，讓偵聽器使用通配符證書。

?

如下圖所示，在防火墻策略工具箱中找到Web偵聽器“Listen 443”，雙擊偵聽器。 在偵聽器屬性中切換到“證書”標(biāo)簽，如下圖所示，現(xiàn)在偵聽器上使用的證書是perth.contoso.com，點擊“選擇證書”。

?

如下圖所示，選擇使用*.contoso.com的通配符證書。

?

OK，Web偵聽器修改完成。

?

三 修改發(fā)布規(guī)則

現(xiàn)在ISA服務(wù)器中有一條發(fā)布規(guī)則用來發(fā)布Perth上的安全站點，這條發(fā)布規(guī)則的Web偵聽器使用了通配符證書，我們利用這條規(guī)則復(fù)制出一條新的發(fā)布規(guī)則，再稍加修改就可以用于發(fā)布Denver上的安全站點了。如下圖所示，右鍵點擊防火墻策略，選擇“復(fù)制”。 復(fù)制完規(guī)則后，選擇“粘貼”。

?

如下圖所示，復(fù)制后的規(guī)則如下圖所示，我們編輯發(fā)布規(guī)則“pub perth ssl website（1）”。

?

在發(fā)布規(guī)則屬性中切換到“常規(guī)”標(biāo)簽，將名稱改為“pub denver ssl website”。

?

切換至發(fā)布規(guī)則的“到”標(biāo)簽，在發(fā)布站點處填寫“denver.contoso.com”。

?

切換到發(fā)布規(guī)則的“公共名稱”標(biāo)簽，如下圖所示，將公共名稱從perth.contoso.com改為denver.contoso.com。

?

修改后的發(fā)布規(guī)則如下圖所示，現(xiàn)在我們有兩條發(fā)布規(guī)則分別用于發(fā)布denver和perth上的安全站點。

?

四 測試

最后，我們在Istanbul上進(jìn)行測試，首先訪問denver上的安全站點，如下圖所示，訪問正常。

?

再來訪問perth上的安全站點，仍然正常，OK，利用通配符發(fā)布多個安全站點成功了！

?

發(fā)布多個安全Web站點除了使用通配符證書，還可以考慮使用多個Web偵聽器，每個偵聽器守護(hù)不同端口，只是這樣一來勢必訪問某些安全站點時就不能在標(biāo)準(zhǔn)的443端口了，可能會給訪問者帶來麻煩。如果ISA的外網(wǎng)網(wǎng)卡幫定了多個IP，也可以在每個IP上綁定不同的證書。 ? 本文出自 “岳雷的微軟網(wǎng)絡(luò)課堂”http://yuelei.blog.51cto.com/202879/88716

轉(zhuǎn)載于:https://blog.51cto.com/freemanluo/186833

總結(jié)

以上是生活随笔為你收集整理的妙用通配符证书发布多个安全站点的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。