Windows服务器Forefront TMG部署SSL证书

infiniSign

原文阅读:Windows服务器Forefront TMG部署SSL证书

微软Forefront TMG是一个高级状态检测以及应用层检测防火墙,同时还包括VPN以及Web缓存,这样一款在历史潮流中消逝的产品目前还有很多企业用户使用,本文介绍TMG中如何部署SSL和443端口映射。

image

首先,假定我们的WEB应用服务器或虚拟机位于网关服务器/物理机Forefront TMG(以下简称TMG)之后,访问虚拟机中的WEB应用是经过网关服务器转发来访问,WEB应用服务器和TMG之间可以使用http通信,也可以使用https通信;互联网通过https协议方式访问TMG,而不是直接访问WEB应用服务器,故我们真正要部署SSL数字证书是在TMG中部署。

第一部分:申请SSL数字证书并导出pfx证书

可在任意一台有IIS的服务器上制作CSR证书请求文件/创建证书申请和完成证书申请,具体参考:IIS8.x中安装证书及常见错误

这里要注意以下几点:

  1. 不给所在机器上绑定443端口和证书
  2. 按照IIS8.x中安装证书及常见错误中方法“创建证书申请” - “完成证书申请”顺序将CA签发的证书安装至这台服务器的证书列表中
  3. 使用恢复IIS安装证书过程中丢失的私钥中的方法将私钥恢复,IIS证书列表刷新就不见了,而且TMG也会不认可这个证书

最终在这台服务器的IIS中我们并不需要对网站进行绑定,而是将此证书导出为pfx备份证书(包含私钥),双击这个证书,在详细信息中点击“复制到文件”,进行导出,并记住备份密码。

image

第二部分:在TMG所在服务器中导入证书

将第一部分中服务器导出的pfx证书,导入到TMG所在服务器。
使用命令mmc - 添加单元 - 证书 - 所有计算机用户 来管理导入计算机的个人证书:

image

在个人 - 证书右点空白处 - 所有任务 - 导入证书,导入证书时选择第一部分的pfx证书。在此过程会要求输入备份密码。

image

这样我们就将最终证书真正意义上导入到TMG所在服务器中了。

第三部分:使用TMG发布站点

打开TMG,在防火墙策略中可以看到下图界面。

image

点击工具箱 - 网络对象  - WEB 侦听器,右击Web 仙听器,新建WEB侦听器,

image

然后输入任意名称,仅做标识用途。

image

因为我们这里要部署SSL数字证书,所以我们选择“需要与客户端建立SSL安全链接”。如果此处选择此项的话,在新建过程中会要求选择SSL数字证书,如果想在后面自行修改,可选择“不需要与客户端建立SSL安全链接”。

image

选择“外部”选项所有IP地址,表示不限制IP地址。

image

选择第二部分导入的证书,如果导入证书不合法(例如不含私钥),那么这一步将进行不了。

image

依次默认下一步到最后“完成新建Web侦听器向导”。

第四部分:部署SSL数字证书

此处接第二部分,我们在第二部分选择“不需要与客户端建立SSL安全链接”,在此配置SSL数字证书

右击我们创建好的非https版Web侦听器 - 属性,可以看到下图内容。

image

点击“连接”选项卡,设置80,443端口以及可能需要的重定向,这里等同于IIS的重定向。

image

切换到“证书”选项卡选择第二部分导入的证书,同样如果证书不合法(不含私钥),将无法选择。

image

最后应用、确定成功之后,需要给TMG点击应用刚才以上的设置。

image

这个过程很快完成,这样我们就完成了TMG上的证书部署

第五部分:端口映射

这时候,就算我们户用了应用服务器(内网)的IIS,然后我们访问该应用服务器的80,443端口可能都无法访问。

到此,我们基于TMG的创建及维护SSL证书就完成了。

相关文章

阅读 2.7k
41 声望
0 粉丝
0 条评论
41 声望
0 粉丝
文章目录
宣传栏