(Phần 1: Nhiều website cùng domain name)
I. Giới thiệu
Doanh nghiệp đã có website trên web server đặt tại công ty mình, và có nhu cầu publish website này ra Internet có mã hóa trên đường truyền, đồng thời để tăng cường độ tin cậy của khách hàng với doanh nghiệp khi truy cập website của mình, doanh nghiệp phải mua SSL certificate tại các nhà cung cấp chuyên bán certificate như Verisign, Rapidssl,...
Điểm lưu ý ở đây khi mua SSL certificate là mỗi website có tên trang web khác nhau thì khi mua SSL certificate phải được đăng ký ở mục common name với tên tương ứng của trang web.
Ví dụ: Nhất Nghệ có 3 website www.nhatnghe.com, forum.nhatnghe.com, mail.nhatnghe.com và khi Nhất Nghệ mua SSL certificate thì phải mua 3 SSL certificate khác nhau với 3 tên tương ứng đó.
Vậy trường hợp Nhất Nghệ có nhiều website hơn nữa với cùng domain name nhatnghe.com thì phải mua nhiều SSL certificate hơn nữa. Các nhà cung cấp đưa ra khái niệm wildcard certificate. Nhất Nghệ chỉ mua SSL wildcard certificate (*.nhatnghe.com) thì có thể dùng chung cho các tất cả website cùng domain name.
Trong bài lab này Nhất Nghệ có 2 website www.nhatnghe.com và forum.nhatnghe.com và có nhu cầu publish secure 2 website này ra Internet. Web server là vừa là DC vừa là Enterprise Root CA. Ngữ cảnh bài này thay vì mua SSL wildcard certificate từ nhà cung cấp, Nhất Nghệ sử dụng SSL wildcard certificate từ Root CA cục bộ cấp phát
II. Các bước thực hiện
A - Máy Web server
1. Kiểm tra địa chỉ IP
2. Tạo website www.nhatnghe.com
3. Tạo website forum.nhatnghe.com
4. Xin SSL wildcard certificate
5. Export SSL wildcard certificate
6. Remove SSL wildcard certificate
7. Xin SSL certificate cho website www.nhatnghe.com
8. Xin SSL certificate cho website forum.nhatnghe.com
B - Máy ISA server
1. Kiểm tra địa chỉ IP
2. Import SSL wildcard certificate
3. Kiểm tra tính hợp lệ SSL wildcard certificate
4. Khắc phục lỗi khi SSL wildcard certificate không hợp lệ
5. Tạo web listener
6. Publish secure website www.nhatnghe.com
7. Publish secure website forum.nhatnghe.com
C - Máy Client
1. Tạo file host
2. Kiểm tra các website
III. THỰC HIỆN
Đặt địa chỉ IP như hình sau
- Web server nâng cấp DC, cài Enterprise Root CA. Tạo nội dung trang web cho các website
- ISA join domain
A - Máy Web server
1. Kiểm tra địa chỉ IP
- Start > Run gõ cmd > Enter
- Gõ ipconfig /all
2. Tạo website www.nhatnghe.com
Mở IIS Manager > Chuột phải Website > New > Website
Chọn Next
Đặt tên mô tả website
Chọn địa chỉ IP 172.16.1.2 và đặt tên host header www.nhatnghe.com
Chỉ đường dẫn lưu trữ website webnhatnghe
Chọn Next
Chọn Finish
3. Tạo website forum.nhatnghe.com
Chuột phải Website > New > Website
Chọn Next
Đặt tên mô tả website Forum Nhat Nghe
Chọn địa chỉ IP 172.16.1.3 và đặt tên host header forum.nhatnghe.com
Chỉ đường dẫn lưu trữ website ForumNhatnghe
Chọn Next
Chọn Finish
4. Xin SSL wildcard certificate
Chuột phải website Nhatnghe chọn properties
Chọn tab Directory Security > Server certificate
Chọn Next
Chọn Create a new certificate > Next
Chọn Send the request immediately..... > Next
Chọn Next
Nhập tên công ty
Nhập *.nhatnghe.com > Next
Nhập thông tin ...> Next
Chọn next
Chọn next
Chọn Next
Chọn Finish
5. Export SSL wildcard certificateChuột phải website Nhatnghe > Properties
Chọn tab Directory Security > Server certificate
Chọn Next
Chọn Export the current certificate to a .pfx file
Chọn đường dẫn lưu file pfx tại C:
Nhập password bảo vệ file pfx
Chọn Next
Chọn Finish
Chọn OK
6. Remove SSL wildcard certificateChuột phải website Nhatnghe > Properties
Chọn tab Directory Security > Server certificate
Chọn Next
Chọn Remove the current certificate > Next
Chọn Next
Chọn Finish
Chọn OK
7. Xin SSL certificate cho website www.nhatnghe.comChuột phải website Nhatnghe > Properties
Chọn tab Directory Security > Server certificate
Chọn Next
Chọn Create a new certificate > Next
Chọn Send the request immediately..... > Next
Chọn Next
Nhập tên công ty
Nhập www.nhatnghe.com > Next
Nhập thông tin ...> Next
Chọn next
Chọn next
Chọn Next
Chọn Finish
Chọn OK
8. Xin SSL certificate cho website forum.nhatnghe.comChuột phải ForumNhatnghe chọn properties
Chọn tab Directory Security > Server certificate
Chọn Next
Chọn Create a new certificate > Next
Chọn Send the request immediately..... > Next
Chọn Next
Nhập tên công ty
Nhập *.nhatnghe.com > Next
Nhập thông tin ...> Next
Chọn next
Chọn next
Chọn next
Chọn Finish
B - Máy ISA server
1. Kiểm tra địa chỉ IP
Tại command line gõ ipconfig /all
2. Import SSL wildcard certificate
Máy ISA server đã logon domain administrator, vào Run nhập như hình
Copy file *.pfx đã được Export từ lúc đầu
Paste vào ổ C của máy ISA server
Run nhập mmc . Chọn menu File > Add/Remove Snap-in
Chọn Add
Chọn Certificate > Add
Chọn Computer account > Next
Chọn Local computer > Finish
Chọn OK
Chuột phải certificate như hình chọn Import
Chọn Next
Chọn File .pfx đã copy về và lưu tại C: > open
Chọn Next
Nhập password trước đây đã nhập nhằm bảo vệ file này > Next
Chọn Next
Chọn Finish
Chọn OK
3. Kiểm tra tính hợp lệ SSL wildcard certificateSau khi import certificate thành công , double click SSL wildcard certificate
Nếu certicate đưa ra giống hình dưới nghĩa là certificate không hợp lệ
Đơn vị cấp phát certificate là RootCA ở đây không nằm trong danh sách các đơn vị cấp phát certificate tin cậy (Trusted Root Certification Authority)
4. Khắc phục lỗi khi SSL wildcard certificate không hợp lệ
- Nếu SSL wildcard certificate đã hợp lệ thì không cần làm bước này
- Đảm bảo ISA đã có rule Allow HTTP/HTTPS From Local Host to Internal- Mở Internet Explorer nhập http://172.16.1.2/certsrv > Chọn Download a CA certificate ....
Chọn Download CA certificate
Chọn Save
Chỉ đường dẫn lưu tại desktop > Save
Chọn Close
Chuột phải như hình chọn Import
Chọn Next
Chọn Browse chỉ đến file certnew.cert ngoài desktop
Chọn Next
Chọn Finish
Chọn OK
Double click lại SSL wildcard certificate
Certificate bây giờ đã hợp lệ
5. Tạo web listenerChuột phải web listener chọn New Web Listener
Đặt tên cho Web listener Listen 443 > Chọn Next
Chọn như hình Next
Chọn External > Next
Chọn Use a single certificate ... > Chọn Select certificate
Chọn certificate *.nhatnghe.com . Chọn Select
Chọn Next
Chọn như hình > Next
Chọn Next
Chọn Finish
6. Publish secure website www.nhatnghe.comChuột phải Firewall Policy > New > Web Site Publising Rule
Đặt tên cho Rule
Chọn Allow > Next
Chọn Publish a single Web site or load balancer >Next
Chọn Use SSL to connec to the published ........ > Next
Nhập như hình > Next
Chọn Next
Nhập pulic name như hình > Next
Chọn Web listener > Next
Chọn như hình > Next
Chọn Next
Chọn Finish
7. Publish secure website forum.nhatnghe.comChuột phải Firewall Policy > New > Web Site Publising Rule
Đặt tên cho Rule
Chọn Allow > Next
Chọn Publish a single Web site or load balancer >Next
Chọn Use SSL to connec to the published ........ > Next
Nhập như hình > Next
Chọn Next
Nhập pulic name như hình > Next
Chọn Web listener > Next
Chọn Next
Chọn Next
Chọn Finish
Chọn Apply
1. Tạo file hosts
Mở file hosts tại đường dẫn C:\Windows\System32\drivers\etc nhập thêm nội dung sau và save lại
2. Kiểm tra các website
Mở Internet Explorer truy cập https://www.nhatnghe.com, nhận được thông báo chọn View Certificate
Certificate không hợp lệ do Root Ca không nằm trong danh sách Trusted Root Certification Authority > Chọn OK > Chọn Yes
Nội dung của website Nhất Nghệ
Truy cập https://forum.nhatnghe.com cũng gặp thông báo, chọn View certificate
Vẫn là 1 SSL wildcard certificate > OK >Yes
Nội dung của website forum Nhất Nghệ
Kết luận: Chỉ cần có 1 SSL wildcard certificate thì có thể publish được nhiều website cùng domain.Chúc bạn thành công
8/13/2012
Publish secure multiple SSL web với ISA server 2006
Subscribe to:
Post Comments (Atom)
.jpg)
0 nhận xét:
Post a Comment