在 ISA Server 2006 中发布安全 Web 服务

在ISA2006中发布安全 Web 服务和在ISA2004中进行发布基本一致。在进行发布之前，你需要进行以下准备工作：

1、确保在 ISA Server 上可以正常的访问内部的安全 Web 服务而不出现任何警告，如下图所示，我在 ISA Server 上可以正常的访问内部的两台安全 Web 服务器 Chicago.isacn.org（10.1.1.7）和 Istanbul.isacn.org（10.1.1.8）；

2、将颁发安全 Web 服务的服务器证书的证书颁发机构的CA证书导入到 ISA Server 本地计算机的受信任的根证书颁发机构存储中，其实这一步应该是属于上一个步骤的。然后需要给 ISA Server 安装相应的服务器证书以实现外部客户和 ISA Server 之间的安全连接。从理论上说，绑定在 ISA Server 外部接口上的服务器证书和内部安全 Web 服务的服务器证书是没有任何关系的，但是通常都是配置 ISA Server 使用内部安全 Web 服务的服务器证书来实现外部客户和 ISA Server 之间的安全连接。

在此，我先导出被发布的安全 Web 服务的服务器证书，注意导出时必须导出私钥，然后导入到 ISA Server 的本地计算机的证书存储中以便使用，如下图所示：

在做好准备工作以后，我们就可以进行安全 Web 服务的发布了。

一、发布单个安全 Web 服务

首先我以对外发布位于 Istanbul.isacn.org（10.1.1.8）上的安全 Web 服务为例，外部的DNS服务器将域名 Istanbul.isacn.org 解析到 ISA Server 的外部IP地址 172.16.0.248，外部客户通过访问此IP地址来访问被发布的安全 Web 服务。

在 ISA Server 2006 管理控制台中右击防火墙策略，指向新建，选择Web站点发布规则；

在弹出的欢迎使用新建Web发布规则向导页，输入规则名称“Publish SSL”后点击下一步；

在选择规则动作页，选择允许，点击下一步；

在发布类型页，选择发布单个Web站点或负载均衡器，点击下一步；

在服务器连接安全性页，选择使用SSL来连接到被发布的Web服务器或服务器场（即使用HTTPS来连接被发布的服务器），点击下一步；

在内部发布细节第一页，在内部站点名栏输入被发布的内部Web站点的名称，ISA Server 将使用此名称来连接到被发布的安全 Web 服务器，并且此名字必须和对应的安全 Web 服务器所绑定的证书的公共名字相匹配；为了便于ISA连接到内部的安全Web服务器，建议你勾选使用计算机名或IP地址来连接到被发布的服务器，然后输入服务器的IP地址，完成后点击下一步；

在内部发布细节第二页，输入发布的内部Web站点的路径，在此我发布全部路径，因此直接点击下一步；

在公共名字细节页，选择接受外部访问请求的外部域名，在此我在接收请求栏选择以下域名，输入外部域名 istanbul.isacn.org 后点击下一步；

在选择Web侦听器页，点击新建按钮；在弹出的欢迎使用新建Web侦听器向导页，输入侦听器名称后点击下一步；

在客户端连接安全性页，选择要求和客户端之间的SSL安全连接，点击下一步；

在Web侦听器IP地址页，勾选外部网络，然后点击选择IP地址按钮来配置Web侦听器侦听的IP地址；

ISA Server 的外部接口具有两个IP地址，由于在此我只想将发布的安全 Web 服务绑定在 172.16.0.248 这个IP地址上，因此选择指定位于被选择的网络中的ISA Server 计算机的IP地址，然后选择 172.16.0.248，点击添加，然后点击确定；然后在Web侦听器IP地址页点击下一步；

在侦听器SSL证书页，选择为每个IP地址分配一个证书，然后点击172.16.0.248，再点击选择证书，

在选择证书对话框，点击对应的服务器证书，然后点击选择，

在侦听器SSL证书页点击下一步；

在身份验证设置页，设置 ISA Server 2006 是否对请求访问的客户进行身份验证。需要注意的是，此身份验证是由 ISA Server 要求客户进行，和被发布的Web服务器没有任何关系。不过在 ISA Server 2006 中增强了对于身份验证委派的支持，因此你可以设置 ISA Server 要求客户身份验证，然后 ISA Server 再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器，从而避免客户端被提示要求进行多次身份验证。在此我不需要ISA2006对客户端进行身份验证，因此选择无身份验证，点击下一步；

在单点登录设置页，由于只有基于HTTP表单的身份验证才支持SSO，因此无法进行配置，直接点击下一步；

在正在完成新建Web侦听器向导页点击完成，然后在选择Web侦听器页点击下一步；

在身份验证委派页，由于被发布的安全 Web 服务可能会要求客户端进行身份验证，因此我选择无委派，但是客户端可以直接进行身份验证，点击下一步；

在用户集页，接受默认的所有用户，点击下一步；

在正在完成新建Web发布规则向导页点击完成，此时Web发布规则就创建好了，点击应用保存修改和更新防火墙策略。

我们在外部网络的客户上访问进行测试，访问成功，如下图所示：

而ISA2006上的日志如下图所示：

二、发布多个安全 Web 服务

在此，我将利用前面创建的安全 Web 服务发布规则和Web侦听器，通过复制规则再发布位于 Chicago.isacn.org（10.1.1.7）上的安全 Web 服务，外部的DNS服务器将域名 Chicago.isacn.org 解析到 ISA Server 的另外一个外部IP地址 172.16.0.247，外部客户通过访问此IP地址来访问被发布的安全 Web 服务。

在ISA2006管理控制台的防火墙策略面板中右击刚才创建的“Publish SSL”规则，选择复制，然后再次右击，选择粘贴，此时复制出了一条安全 Web 发布规则，双击此规则打开规则属性对话框，首先在常规标签修改规则名称，然后在到标签修改被发布的站点名和服务器IP地址；

在公共名字标签，修改允许外部客户访问的公共名字；

然后在侦听器标签，点击属性，

在弹出的侦听器属性对话框上，点击网络标签，选择外部网络，再点击地址按钮；在弹出的外部网络侦听器IP选择对话框上，点击172.16.0.247，然后点击添加，再点击确定；

在侦听器属性对话框上，点击证书标签，选择172.16.0.247，然后点击选择证书，

在选择证书对话框，点击对应的服务器证书，然后点击选择，

然后在侦听器属性对话框上点击确定；

最后在规则属性对话框上点击确定，然后点击应用保存修改和更新防火墙策略。

我们同样在外部网络的客户上访问进行测试，访问成功，如下图所示：