Forefront_TMG_2010-TMG发布SSL Web服务器 推荐
2013-11-13 17:56
295 查看
1.环境拓扑图:
![](http://blog.51cto.com/attachment/201311/165029803.jpg)
2.在DMZ中安装WEB服务器后,再安装CA服务器首先安装Web服务器:
![](http://blog.51cto.com/attachment/201311/165041833.jpg)
![](http://blog.51cto.com/attachment/201311/165044193.jpg)
在DMZ区域的Web服务器进行测试:
![](http://blog.51cto.com/attachment/201311/165059728.jpg)
之后我们安装CA证书服务器:
![](http://blog.51cto.com/attachment/201311/165111410.jpg)
下一步:
![](http://blog.51cto.com/attachment/201311/165119217.jpg)
选择“证书颁发机构”和“证书颁发机构Web注册”:
![](http://blog.51cto.com/attachment/201311/165127543.jpg)
选择“独立CA”:
![](http://blog.51cto.com/attachment/201311/165135827.jpg)
选择“根CA”:
![](http://blog.51cto.com/attachment/201311/165143715.jpg)
新建私钥:
![](http://blog.51cto.com/attachment/201311/165152955.jpg)
配置加密方式:
![](http://blog.51cto.com/attachment/201311/165202704.jpg)
配置CA名称:
![](http://blog.51cto.com/attachment/201311/165211900.jpg)
配置证书有效期:
![](http://blog.51cto.com/attachment/201311/165221784.jpg)
配置数据库位置:
![](http://blog.51cto.com/attachment/201311/165238147.jpg)
下一步:
![](http://blog.51cto.com/attachment/201311/165248494.jpg)
安装Web相关组件:
![](http://blog.51cto.com/attachment/201311/165259750.jpg)
开始安装:
![](http://blog.51cto.com/attachment/201311/165310574.jpg)
完成CA的安装:
![](http://blog.51cto.com/attachment/201311/165320861.jpg)
打开证书颁发机构管理控制台:
![](http://blog.51cto.com/attachment/201311/165332218.jpg)
打开IIS控制台,发现默认站点下新添加了一个虚拟目录certsrv:
![](http://blog.51cto.com/attachment/201311/165345258.jpg)
3.在WEB服务器的默认网站向CA服务器申请网站服务证书打开Web服务器,IIS管理控制台,双击“服务器证书”:
![](http://blog.51cto.com/attachment/201311/170107360.jpg)
点击“创建证书申请”:
![](http://blog.51cto.com/attachment/201311/170122268.jpg)
在“通用名称”中添加Web服务器要发布的FQDN名称:
![](http://blog.51cto.com/attachment/201311/173946281.jpg)
设置加密类型:
![](http://blog.51cto.com/attachment/201311/174348800.jpg)
选择文件的存放位置:
![](http://blog.51cto.com/attachment/201311/174400950.jpg)
![](http://blog.51cto.com/attachment/201311/174410121.jpg)
在Web服务器上打开IE浏览器输入:http://CA服务器的IP地址/certsrv,点击“申请证书”:
![](http://blog.51cto.com/attachment/201311/174419706.jpg)
选择“高级证书申请”:
![](http://blog.51cto.com/attachment/201311/174430533.jpg)
选择“使用base编码”:
![](http://blog.51cto.com/attachment/201311/174440702.jpg)
在保存的申请中,输入当时Web服务器保存的记事本中的全部内容,点击“提交”:
![](http://blog.51cto.com/attachment/201311/174457763.jpg)
![](http://blog.51cto.com/attachment/201311/174500593.jpg)
证书已经申请:
![](http://blog.51cto.com/attachment/201311/174515204.jpg)
4.在CA服务器上颁发证书打开CA管理控制台,找到“挂起的申请”里Web服务器刚刚申请的证书,由管理员手动进行颁发:
![](http://blog.51cto.com/attachment/201311/174526925.jpg)
查看“颁发的证书”,证书已经被颁发成功:
![](http://blog.51cto.com/attachment/201311/174546236.jpg)
5.在WEB服务器中下载证书并安装证书在Web服务器上输入http://CA服务器IP地址/certsrv,点击“查看挂起的证书申请的状态”:
![](http://blog.51cto.com/attachment/201311/174607577.jpg)
找到刚申请的证书后,点击下载:
![](http://blog.51cto.com/attachment/201311/174640480.jpg)
![](http://blog.51cto.com/attachment/201311/174642455.jpg)
![](http://blog.51cto.com/attachment/201311/174644219.jpg)
![](http://blog.51cto.com/attachment/201311/174647968.jpg)
回到IIS管理控制台,找到“服务器证书”,点击右侧的“完成证书申请”:
![](http://blog.51cto.com/attachment/201311/174659453.jpg)
找到刚下载的网站证书:
![](http://blog.51cto.com/attachment/201311/174712698.jpg)
![](http://blog.51cto.com/attachment/201311/174714177.jpg)
找到网站站点,选择“绑定”,点击“添加”:
![](http://blog.51cto.com/attachment/201311/174724557.jpg)
选择协议类型为“https”,端口为“443”,SSL证书为刚刚保存的网站证书:
![](http://blog.51cto.com/attachment/201311/174740978.jpg)
![](http://blog.51cto.com/attachment/201311/174743598.jpg)
6.在WEB服务器上找到“证书管理器”(计算机证书),导出证书到文件(导出私钥),并把该证书文件复制到TMG服务器中在Web服务器上打开微软管理控制台MMC,添加计算机证书:
![](http://blog.51cto.com/attachment/201311/174757419.jpg)
找到个人证书里的网站证书,然后导出:
![](http://blog.51cto.com/attachment/201311/174807226.jpg)
选择导出私钥:
![](http://blog.51cto.com/attachment/201311/174824755.jpg)
![](http://blog.51cto.com/attachment/201311/174826223.jpg)
输入密码:
![](http://blog.51cto.com/attachment/201311/174836613.jpg)
选择保存路径:
![](http://blog.51cto.com/attachment/201311/174847395.jpg)
完成:
![](http://blog.51cto.com/attachment/201311/174857596.jpg)
找到证书存放的位置,把该证书复制到TMG服务器中:
![](http://blog.51cto.com/attachment/201311/174906724.jpg)
7.在TMG服务器上使用MMC控制台打开“证书管理器”(计算机证书),将复制过来的证书导入到个人证书在TMG服务器中打开计算机证书,选择“导入”:
![](http://blog.51cto.com/attachment/201311/174917654.jpg)
找到刚刚复制过来的证书:
![](http://blog.51cto.com/attachment/201311/174926543.jpg)
输入当时设置的密码:
![](http://blog.51cto.com/attachment/201311/174937583.jpg)
导入成功:
![](http://blog.51cto.com/attachment/201311/174946280.jpg)
8.在TMG服务器上创建一条允许http的访问规则在TMG服务器中新建访问规则:
![](http://blog.51cto.com/attachment/201311/174955828.jpg)
输入名称:
![](http://blog.51cto.com/attachment/201311/175005529.jpg)
选择“允许”:
![](http://blog.51cto.com/attachment/201311/175015548.jpg)
选择协议为http:
![](http://blog.51cto.com/attachment/201311/175023998.jpg)
选择访问源为“本机主机”,即TMG服务器:
![](http://blog.51cto.com/attachment/201311/175033346.jpg)
选择访问目标为“外围”:
![](http://blog.51cto.com/attachment/201311/175045278.jpg)
![](http://blog.51cto.com/attachment/201311/175048684.jpg)
9.在TMG服务器上的IE浏览器中输入http://CA服务器IP地址/certsrv,选择“下载CA证书链”,将证书链文件保存在计算机中
![](http://blog.51cto.com/attachment/201311/175104864.jpg)
![](http://blog.51cto.com/attachment/201311/175107304.jpg)
![](http://blog.51cto.com/attachment/201311/175109779.jpg)
10.在TMG服务器上使用MMC控制台打开“证书管理器”(计算机证书),将下载的证书链导入到“受信任的证书颁发机构”
![](http://blog.51cto.com/attachment/201311/175121887.jpg)
找到刚下载的CA证书链:
![](http://blog.51cto.com/attachment/201311/175134545.jpg)
![](http://blog.51cto.com/attachment/201311/175136429.jpg)
11.在TMG服务器上创建“网站发布规则”
![](http://blog.51cto.com/attachment/201311/175150483.jpg)
输入名称:
![](http://blog.51cto.com/attachment/201311/175201979.jpg)
选择“允许”:
![](http://blog.51cto.com/attachment/201311/175210403.jpg)
选择“发布单个网站或负载平衡器”:
![](http://blog.51cto.com/attachment/201311/175219688.jpg)
选择“使用SSL连接到发布的Web服务器或服务器场”:
![](http://blog.51cto.com/attachment/201311/175227723.jpg)
输入内部站点名称,勾选“使用计算机名称或IP地址连接到发布的服务器”,输入DMZ区域的Web服务器的IP地址:
![](http://blog.51cto.com/attachment/201311/175236725.jpg)
输入路径:
![](http://blog.51cto.com/attachment/201311/175248193.jpg)
输入公用名称:
![](http://blog.51cto.com/attachment/201311/175304531.jpg)
新建Web侦听器:
![](http://blog.51cto.com/attachment/201311/175314218.jpg)
选择“需要与客户端建立SSL安全连接”:
![](http://blog.51cto.com/attachment/201311/175323750.jpg)
选择侦听的范围为“外部”:
![](http://blog.51cto.com/attachment/201311/175339812.jpg)
选择证书:
![](http://blog.51cto.com/attachment/201311/175358491.jpg)
![](http://blog.51cto.com/attachment/201311/175400969.jpg)
![](http://blog.51cto.com/attachment/201311/175402646.jpg)
选择身份验证为“没有身份验证”:
![](http://blog.51cto.com/attachment/201311/175412748.jpg)
完成:
![](http://blog.51cto.com/attachment/201311/175423829.jpg)
![](http://blog.51cto.com/attachment/201311/175425372.jpg)
选择身份验证委派:
![](http://blog.51cto.com/attachment/201311/175447476.jpg)
选择所有用户:
![](http://blog.51cto.com/attachment/201311/175456345.jpg)
完成:
![](http://blog.51cto.com/attachment/201311/175508539.jpg)
![](http://blog.51cto.com/attachment/201311/175511309.jpg)
12.把Web服务器设置为要求SSL访问找到Web服务器站点,选择“SSL 设置”:
![](http://blog.51cto.com/attachment/201311/175522808.jpg)
勾选“要求SSL”,并应用:
![](http://blog.51cto.com/attachment/201311/175530551.jpg)
13.在外网的计算机中修改hosts文件将网站域名指向TMG服务器的外网网卡的IP地址
![](http://blog.51cto.com/attachment/201311/175546266.jpg)
![](http://blog.51cto.com/attachment/201311/175548420.jpg)
14.在IE浏览器中输入https://TMG服务器外网网卡IP地址,来验证是否成功
![](http://blog.51cto.com/attachment/201311/175556506.jpg)
![](http://blog.51cto.com/attachment/201311/165029803.jpg)
2.在DMZ中安装WEB服务器后,再安装CA服务器首先安装Web服务器:
![](http://blog.51cto.com/attachment/201311/165041833.jpg)
![](http://blog.51cto.com/attachment/201311/165044193.jpg)
在DMZ区域的Web服务器进行测试:
![](http://blog.51cto.com/attachment/201311/165059728.jpg)
之后我们安装CA证书服务器:
![](http://blog.51cto.com/attachment/201311/165111410.jpg)
下一步:
![](http://blog.51cto.com/attachment/201311/165119217.jpg)
选择“证书颁发机构”和“证书颁发机构Web注册”:
![](http://blog.51cto.com/attachment/201311/165127543.jpg)
选择“独立CA”:
![](http://blog.51cto.com/attachment/201311/165135827.jpg)
选择“根CA”:
![](http://blog.51cto.com/attachment/201311/165143715.jpg)
新建私钥:
![](http://blog.51cto.com/attachment/201311/165152955.jpg)
配置加密方式:
![](http://blog.51cto.com/attachment/201311/165202704.jpg)
配置CA名称:
![](http://blog.51cto.com/attachment/201311/165211900.jpg)
配置证书有效期:
![](http://blog.51cto.com/attachment/201311/165221784.jpg)
配置数据库位置:
![](http://blog.51cto.com/attachment/201311/165238147.jpg)
下一步:
![](http://blog.51cto.com/attachment/201311/165248494.jpg)
安装Web相关组件:
![](http://blog.51cto.com/attachment/201311/165259750.jpg)
开始安装:
![](http://blog.51cto.com/attachment/201311/165310574.jpg)
完成CA的安装:
![](http://blog.51cto.com/attachment/201311/165320861.jpg)
打开证书颁发机构管理控制台:
![](http://blog.51cto.com/attachment/201311/165332218.jpg)
打开IIS控制台,发现默认站点下新添加了一个虚拟目录certsrv:
![](http://blog.51cto.com/attachment/201311/165345258.jpg)
3.在WEB服务器的默认网站向CA服务器申请网站服务证书打开Web服务器,IIS管理控制台,双击“服务器证书”:
![](http://blog.51cto.com/attachment/201311/170107360.jpg)
点击“创建证书申请”:
![](http://blog.51cto.com/attachment/201311/170122268.jpg)
在“通用名称”中添加Web服务器要发布的FQDN名称:
![](http://blog.51cto.com/attachment/201311/173946281.jpg)
设置加密类型:
![](http://blog.51cto.com/attachment/201311/174348800.jpg)
选择文件的存放位置:
![](http://blog.51cto.com/attachment/201311/174400950.jpg)
![](http://blog.51cto.com/attachment/201311/174410121.jpg)
在Web服务器上打开IE浏览器输入:http://CA服务器的IP地址/certsrv,点击“申请证书”:
![](http://blog.51cto.com/attachment/201311/174419706.jpg)
选择“高级证书申请”:
![](http://blog.51cto.com/attachment/201311/174430533.jpg)
选择“使用base编码”:
![](http://blog.51cto.com/attachment/201311/174440702.jpg)
在保存的申请中,输入当时Web服务器保存的记事本中的全部内容,点击“提交”:
![](http://blog.51cto.com/attachment/201311/174457763.jpg)
![](http://blog.51cto.com/attachment/201311/174500593.jpg)
证书已经申请:
![](http://blog.51cto.com/attachment/201311/174515204.jpg)
4.在CA服务器上颁发证书打开CA管理控制台,找到“挂起的申请”里Web服务器刚刚申请的证书,由管理员手动进行颁发:
![](http://blog.51cto.com/attachment/201311/174526925.jpg)
查看“颁发的证书”,证书已经被颁发成功:
![](http://blog.51cto.com/attachment/201311/174546236.jpg)
5.在WEB服务器中下载证书并安装证书在Web服务器上输入http://CA服务器IP地址/certsrv,点击“查看挂起的证书申请的状态”:
![](http://blog.51cto.com/attachment/201311/174607577.jpg)
找到刚申请的证书后,点击下载:
![](http://blog.51cto.com/attachment/201311/174640480.jpg)
![](http://blog.51cto.com/attachment/201311/174642455.jpg)
![](http://blog.51cto.com/attachment/201311/174644219.jpg)
![](http://blog.51cto.com/attachment/201311/174647968.jpg)
回到IIS管理控制台,找到“服务器证书”,点击右侧的“完成证书申请”:
![](http://blog.51cto.com/attachment/201311/174659453.jpg)
找到刚下载的网站证书:
![](http://blog.51cto.com/attachment/201311/174712698.jpg)
![](http://blog.51cto.com/attachment/201311/174714177.jpg)
找到网站站点,选择“绑定”,点击“添加”:
![](http://blog.51cto.com/attachment/201311/174724557.jpg)
选择协议类型为“https”,端口为“443”,SSL证书为刚刚保存的网站证书:
![](http://blog.51cto.com/attachment/201311/174740978.jpg)
![](http://blog.51cto.com/attachment/201311/174743598.jpg)
6.在WEB服务器上找到“证书管理器”(计算机证书),导出证书到文件(导出私钥),并把该证书文件复制到TMG服务器中在Web服务器上打开微软管理控制台MMC,添加计算机证书:
![](http://blog.51cto.com/attachment/201311/174757419.jpg)
找到个人证书里的网站证书,然后导出:
![](http://blog.51cto.com/attachment/201311/174807226.jpg)
选择导出私钥:
![](http://blog.51cto.com/attachment/201311/174824755.jpg)
![](http://blog.51cto.com/attachment/201311/174826223.jpg)
输入密码:
![](http://blog.51cto.com/attachment/201311/174836613.jpg)
选择保存路径:
![](http://blog.51cto.com/attachment/201311/174847395.jpg)
完成:
![](http://blog.51cto.com/attachment/201311/174857596.jpg)
找到证书存放的位置,把该证书复制到TMG服务器中:
![](http://blog.51cto.com/attachment/201311/174906724.jpg)
7.在TMG服务器上使用MMC控制台打开“证书管理器”(计算机证书),将复制过来的证书导入到个人证书在TMG服务器中打开计算机证书,选择“导入”:
![](http://blog.51cto.com/attachment/201311/174917654.jpg)
找到刚刚复制过来的证书:
![](http://blog.51cto.com/attachment/201311/174926543.jpg)
输入当时设置的密码:
![](http://blog.51cto.com/attachment/201311/174937583.jpg)
导入成功:
![](http://blog.51cto.com/attachment/201311/174946280.jpg)
8.在TMG服务器上创建一条允许http的访问规则在TMG服务器中新建访问规则:
![](http://blog.51cto.com/attachment/201311/174955828.jpg)
输入名称:
![](http://blog.51cto.com/attachment/201311/175005529.jpg)
选择“允许”:
![](http://blog.51cto.com/attachment/201311/175015548.jpg)
选择协议为http:
![](http://blog.51cto.com/attachment/201311/175023998.jpg)
选择访问源为“本机主机”,即TMG服务器:
![](http://blog.51cto.com/attachment/201311/175033346.jpg)
选择访问目标为“外围”:
![](http://blog.51cto.com/attachment/201311/175045278.jpg)
![](http://blog.51cto.com/attachment/201311/175048684.jpg)
9.在TMG服务器上的IE浏览器中输入http://CA服务器IP地址/certsrv,选择“下载CA证书链”,将证书链文件保存在计算机中
![](http://blog.51cto.com/attachment/201311/175104864.jpg)
![](http://blog.51cto.com/attachment/201311/175107304.jpg)
![](http://blog.51cto.com/attachment/201311/175109779.jpg)
10.在TMG服务器上使用MMC控制台打开“证书管理器”(计算机证书),将下载的证书链导入到“受信任的证书颁发机构”
![](http://blog.51cto.com/attachment/201311/175121887.jpg)
找到刚下载的CA证书链:
![](http://blog.51cto.com/attachment/201311/175134545.jpg)
![](http://blog.51cto.com/attachment/201311/175136429.jpg)
11.在TMG服务器上创建“网站发布规则”
![](http://blog.51cto.com/attachment/201311/175150483.jpg)
输入名称:
![](http://blog.51cto.com/attachment/201311/175201979.jpg)
选择“允许”:
![](http://blog.51cto.com/attachment/201311/175210403.jpg)
选择“发布单个网站或负载平衡器”:
![](http://blog.51cto.com/attachment/201311/175219688.jpg)
选择“使用SSL连接到发布的Web服务器或服务器场”:
![](http://blog.51cto.com/attachment/201311/175227723.jpg)
输入内部站点名称,勾选“使用计算机名称或IP地址连接到发布的服务器”,输入DMZ区域的Web服务器的IP地址:
![](http://blog.51cto.com/attachment/201311/175236725.jpg)
输入路径:
![](http://blog.51cto.com/attachment/201311/175248193.jpg)
输入公用名称:
![](http://blog.51cto.com/attachment/201311/175304531.jpg)
新建Web侦听器:
![](http://blog.51cto.com/attachment/201311/175314218.jpg)
选择“需要与客户端建立SSL安全连接”:
![](http://blog.51cto.com/attachment/201311/175323750.jpg)
选择侦听的范围为“外部”:
![](http://blog.51cto.com/attachment/201311/175339812.jpg)
选择证书:
![](http://blog.51cto.com/attachment/201311/175358491.jpg)
![](http://blog.51cto.com/attachment/201311/175400969.jpg)
![](http://blog.51cto.com/attachment/201311/175402646.jpg)
选择身份验证为“没有身份验证”:
![](http://blog.51cto.com/attachment/201311/175412748.jpg)
完成:
![](http://blog.51cto.com/attachment/201311/175423829.jpg)
![](http://blog.51cto.com/attachment/201311/175425372.jpg)
选择身份验证委派:
![](http://blog.51cto.com/attachment/201311/175447476.jpg)
选择所有用户:
![](http://blog.51cto.com/attachment/201311/175456345.jpg)
完成:
![](http://blog.51cto.com/attachment/201311/175508539.jpg)
![](http://blog.51cto.com/attachment/201311/175511309.jpg)
12.把Web服务器设置为要求SSL访问找到Web服务器站点,选择“SSL 设置”:
![](http://blog.51cto.com/attachment/201311/175522808.jpg)
勾选“要求SSL”,并应用:
![](http://blog.51cto.com/attachment/201311/175530551.jpg)
13.在外网的计算机中修改hosts文件将网站域名指向TMG服务器的外网网卡的IP地址
![](http://blog.51cto.com/attachment/201311/175546266.jpg)
![](http://blog.51cto.com/attachment/201311/175548420.jpg)
14.在IE浏览器中输入https://TMG服务器外网网卡IP地址,来验证是否成功
![](http://blog.51cto.com/attachment/201311/175556506.jpg)
相关文章推荐
- Forefront_TMG_2010-TMG发布Exchange2010服务器 推荐
- Forefront_TMG_2010-TMG发布Web服务器
- TMG2010之发布web服务器和邮件服务器
- TMG2010发布web服务器
- Forefront_TMG_2010-TMG发布SSL OWA Exchange 2010
- 微软TMG 2010工作组环境独立服务器阵列配置-1 推荐
- WINDOWS SERVER 2003从入门到精通之使用证书在WEB服务器上设置SSL(上) 推荐
- 使用ForeFront TMG 2010发布Exchan…
- Lync2013 升级错误总结5 TMG发布Lync2013或者Office Web APP提示:目标服务器证书错误
- 通过TMG发布Office Web Apps服务器到外部
- 使用TMG2010让多个web服务器共用一个公网地址
- TMG学习(五),发布内网Web站点服务器
- 基于jenkins结合git实现web程序的多服务器批量发布 推荐
- [学习windows/记录篇]使用tmg三向外围发布ssl安全的web网站
- 部署和发布lync server 2010边缘服务器 推荐
- 拯救赵明 用SSL实现WEB服务器的安全性 推荐
- WebEasyMail发布和邮箱申请 推荐
- ISA 2006 实验指南(八)发布Web服务器
- iis 6发布webservice服务报错:HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容。
- 使用linux系统作为服务器发布web项目