4.TMG发布SSL Web服务器.pdf

Forefront_TMG_2010-TMG 发布SSL Web 服务器 1. 环境拓扑图： 2. 在DMZ 中安装WEB 服务器后，再安装CA 服务器 首先安装Web 服务器: 在DMZ 区域的Web 服务器进行测试： 之后我们安装CA 证书服务器： 下一步： 选择“证书颁发机构”和“证书颁发机构Web 注册”: 选择“独立CA”： 选择“根CA”： 新建私钥： 配置加密方式： 配置CA 名称： 配置证书有效期： 配置数据库位置： 下一步： 安装Web 相关组件： 开始安装: 完成CA 的安装： 打开证书颁发机构管理控制台： 打开IIS 控制台，发现默认站点下新添加了一个虚拟目录certsrv： 3. 在WEB 服务器的默认网站向CA 服务器申请网站服务证书 打开Web 服务器，IIS 管理控制台，双击“服务器证书”： 点击“创建证书申请”： 在“通用名称”中添加Web 服务器要发布的FQDN 名称： 设置加密类型： 选择文件的存放位置： 在Web 服务器上打开IE 浏览器输入：http ://CA服务器的IP 地址/certsrv， 点击“申请证书”： 选择“高级证书申请”： 选择“使用base 编码”： 在保存的申请中，输入当时Web 服务器保存的记事本中的全部内容，点击“提 交”： 证书已经申请： 4. 在CA 服务器上颁发证书 打开CA 管理控制台，找到“挂起的申请”里Web 服务器刚刚申请的证书，由 管理员手动进行颁发： 查看“颁发的证书”，证书已经被颁发成功： 5. 在WEB 服务器中下载证书并安装证书 在Web 服务器上输入http：//CA 服务器IP 地址/certsrv，点击“查看挂起的 证书申请的状态”： 找到刚申请的证书后，点击下载： 回到IIS 管理控制台，找到“服务器证书”，点击右侧的“完成证书申请”： 找到刚下载的网站证书： 找到网站站点，选择“绑定”，点击“添加”： 选择协议类型为“https”，端口为“443”，SSL 证书为刚刚保存的网站证 书： 6. 在WEB 服务器上找到“证书管理器”（计算机证书），导出证书到文件 （导出私钥），并把该证书文件复制到TMG 服务器中 在Web 服务器上打开微软管理控制台MMC，添加计算机证书： 找到个人证书里的网站证书，然后导出： 选择导出私钥： 输入密码： 选择保存路径： 完成： 找到证书存放的位置，把该证书复制到TMG 服务器中： 7. 在TMG 服务器上使用MMC 控制台打开“证书管理器”（计算机证书），将 复制过来的证书导入到个人证书 在TMG 服务器中打开计算机证书，选择“导入”： 找到刚刚复制过来的证书： 输入当时设置的密码： 导入成功： 8. 在TMG 服务器上创建一条允许http 的访问规则 在TMG 服务器中新建访问规则： 输入名称： 选择“允许”： 选择协议为http： 选择访问源为“本机主机”，即TMG 服务器： 选择访问目标为“外围”： 9. 在TMG 服务器上的IE 浏览器中输入http://CA 服务器IP 地址/certsrv,选 择“下载CA 证书链”，将证书链文件保存在计算机中 10.在TMG 服务器上使用MMC 控制台打开“证书管理器”（计算机证书），将 下载的证书链导入到“受信任的证书颁发机构” 找到刚下载的CA 证书链： 11.在TMG 服务器上创建“网站发布规则” 输入名称： 选择“允许”： 选择“发布单个网站或负载平衡器”： 选择“使用SSL 连接到发布的Web 服务器或服务器场”： 输入内部站点名称，勾选“使用计算机名称或IP 地址连接到发布的服务 器”，输入DMZ 区域的Web 服务器的IP 地址： 输入路径： 输入公用名称： 新建Web 侦听器： 选择“需要与客户端建立SSL 安全连接”： 选择侦听的范围为“外部”： 选择证书： 选择身份验证为“没有身份验证”： 完成： 选择身份验证委派： 选择所有用户： 完成： 12.把Web 服务器设置为要求SSL 访问 找到Web 服务器站点，选择“SSL 设置”： 勾选“要求SSL”，并应用： 13.在外网的计算机中修改hosts 文件将网站域名指向TMG 服务器的外网网卡 的IP 地址 14.在IE 浏览器中输入https://TMG 服务器外网网卡IP 地址，来验证是否成 功