Microsoft ISA Server 2006 — устранение неполадок с сертификатами (часть 2)

Опубликовано: 9 Апреля, 2023

Введение

В этой статье я дам вам дополнительную информацию о том, как ISA Server 2006 использует цифровые сертификаты в сценариях веб-цепочки и обратной публикации. Это вторая статья из моей серии о развертывании сертификатов ISA Server 2006, опубликованная в июле 2008 г. на сайте www.ISAserver.org.


Получите вашу копию «Microsoft ISA Server 2006 — Das Handbuch» на немецком языке.

Давайте приступим к этому…

Давайте начнем с краткого объяснения типа сертификатов, используемых в сценариях защищенной публикации, и перейдем к объяснению того, какие функции обеспечивают сертификаты SAN (SAN = альтернативное имя субъекта) и что отличает их от классических сертификатов, таких как сертификаты с подстановочными знаками.

Типы сертификатов

Часто используются три типа сертификатов:

  • Обычные сертификаты
  • Подстановочные сертификаты
  • Сертификаты альтернативного имени субъекта (SAN)

Обычные сертификаты

Обычный сертификат — это «классический» сертификат. Этот тип сертификата выдается только для одного FQDN = Fully Qualified Domain Name, также известного как DNS-имя хоста, например owa.it-training-grote.de.

Подстановочные сертификаты

Сертификат Wildcard часто используется, когда компании необходимо опубликовать разные имена хостов с одним и тем же доменным именем. Вместо использования нескольких обычных сертификатов можно использовать этот тип сертификата. Например, если вы покупаете групповой сертификат для *.it-training-grote.de, вы можете использовать этот сертификат для публикации веб-серверов, например, с именами owa.it-training-grote.de и www.it. -обучение-grote.de.

сертификаты SAN

Сертификаты SAN (Subject Alternate Name) также часто называют многодоменными сертификатами или сертификатами Unified Communication (UC). С помощью сертификатов SAN можно опубликовать несколько полных доменных имен с тем же или другим именем домена верхнего уровня (TLD).

Например:

Сертификат SAN широко используется в сценариях публикации Exchange Server с ISA Server 2006 или без него.

Улучшения сертификата ISA Server 2006 с пакетом обновления 1 (SP1)

Пакет обновления 1 для ISA Server 2006 поддерживает использование сертификатов SAN. До ISA Server 2006 Service Pack 1 ISA Server проверял только первое имя в сертификате и игнорировал дополнительные имена в поле SAN сертификата.

Использование самоподписанных сертификатов

Одним из способов использования сертификатов для публикации ISA Server является использование инструмента SELFSSL.EXE из комплекта ресурсов IIS 6. С помощью инструмента SELFSSL администраторы могут создавать сертификаты с любым общим именем (CN), которое они хотят.


Рисунок 1: SELFSSL из комплекта ресурсов IIS 6

Поскольку самозаверяющий сертификат не выдается доверенным корневым центром сертификации, вы должны вручную поместить самозаверяющий сертификат в хранилище доверенных корневых ЦС на локальном ISA-сервере.


Рисунок 2: Добавление оснастки сертификата

Затем выберите локальную учетную запись «Компьютер» в качестве хранилища сертификатов, чтобы увидеть все локальные установленные сертификаты, которые ISA Server использует для сценариев публикации и веб-цепочки.


Рисунок 3: Отображение сертификатов в хранилище сертификатов

Сертификаты доверенного корневого ЦС

ISA Server гарантирует, что каждый используемый сертификат может быть проверен выдавшим его центром сертификации. ISA Server проверяет цепочку сертификатов от сертификата до корневого ЦС. Список доверенных корневых центров сертификации можно найти в хранилище сертификатов локального компьютера на компьютере с ISA Server 2006.


Рисунок 4: Сертификаты Trusted Root CA

Сертификаты, используемые в сценариях веб-цепочек

Одной из редко используемых функций ISA Server 2006 является использование сертификатов в сценариях веб-цепочек ISA Server. Веб-цепочка используется для связывания веб-трафика от ISA Server с другим веб-прокси, таким как ISA Server. Чтобы использовать сертификат в сценарии веб-цепочки, должны присутствовать следующие предварительные условия:

  • Наличие сертификата аутентификации клиента
  • Быть доверенным выдавшему корневому центру сертификации
  • Установите закрытый ключ в хранилище сертификатов локального компьютера.
  • Быть установленным в личном хранилище сертификатов служебной учетной записи брандмауэра.





Рисунок 5. Выбор сертификатов в сценариях веб-цепочки

Анализатор удаленного подключения Exchange

Анализатор удаленных подключений Microsoft Exchange — полезный инструмент для тестирования различных типов публикаций Exchange Server с ISA Server и без него, без использования необходимых инструментов, таких как Microsoft Outlook. Анализатор удаленных подключений Exchange также очень полезен для проверки правильности развертывания сертификаты на сервере клиентского доступа Exchange (CAS) и/или на сервере ISA.


Рисунок 6: Проверка Exchange Remote Connectivity Analyzer

Анализатор передового опыта ISA Server 2006

Полезной утилитой для устранения проблем с сертификатами в ISA Server 2006 является хорошо известный анализатор передового опыта ISA Server 2006, который анализирует установку ISA Server по базе данных с передовым опытом от Microsoft, чтобы найти возможные ошибки в конфигурации или другие проблемы. В целях устранения неполадок с сертификатами ISABPA проверяет конфигурацию ISA Server и проверяет, используются ли сертификаты в сценариях публикации или веб-цепочки, если соответствующие сертификаты можно найти в хранилище сертификатов на локальном компьютере.


Рисунок 7: Анализатор передового опыта ISA Server

Чтобы дать вам некоторую информацию о том, как ISABPA отображает проблемы, связанные с сертификатами, я удалил все сертификаты из хранилища локального компьютера.

Вывод

В этой статье я попытался дать вам дополнительную информацию о развертывании сертификатов ISA Server 2006 и устранении неполадок. Мы также рассмотрели некоторые новые функции ISA Server 2006 Service Pack 1, которые расширяют возможности ISA Server 2006 для использования сертификатов SAN в сценариях публикации веб-сервера.

Ссылки по теме

  • Внедрение и устранение неполадок развертывания сертификатов в ISA Server 2006
  • Экспорт сертификата SSL из IIS 6.0 и импорт в ISA Server 2004
  • Цифровые сертификаты для ISA Server 2004
  • Отзыв сертификата и проверка статуса
  • Как установить и использовать сертификаты для соединений SSL в ISA Server 2006
  • Устранение неполадок публикации Outlook Web Access
  • Анализатор удаленного подключения Exchange
  • Internet Information Services (IIS) 6.0 Resource Kit Инструменты
  • Инструмент Microsoft Internet Security and Acceleration (ISA) Server Best Practices Analyzer (BPA)

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023