首先,假定我们的WEB应用服务器或虚拟机位于网关服务器/物理机Forefront TMG(以下简称TMG)之后,访问虚拟机中的WEB应用是经过网关服务器转发来访问,WEB应用服务器和TMG之间可以使用http通信,也可以使用https通信;互联网通过https协议方式访问TMG,而不是直接访问WEB应用服务器,故我们真正要部署SSL数字证书是在TMG中部署。
第一部分:申请SSL数字证书并导出pfx证书
可在任意一台有IIS的服务器上制作CSR证书请求文件/创建证书申请和完成证书申请,具体参考:IIS8.x中安装证书及常见错误
这里要注意以下几点:
- 1、不给所在机器上绑定443端口和证书
- 2、按照IIS8.x中安装证书及常见错误中方法“创建证书申请” - “完成证书申请”顺序将CA签发的证书安装至这台服务器的证书列表中
- 3、使用恢复IIS安装证书过程中丢失的私钥中的方法将私钥恢复,IIS证书列表刷新就不见了,而且TMG也会不认可这个证书
最终在这台服务器的IIS中我们并不需要对网站进行绑定,而是将此证书导出为pfx备份证书(包含私钥),双击这个证书,在详细信息中点击“复制到文件”,进行导出,并记住备份密码。
第二部分:在TMG所在服务器中导入证书
将第一部分中服务器导出的pfx证书,导入到TMG所在服务器。
使用命令mmc - 添加单元 - 证书 - 所有计算机用户 来管理导入计算机的个人证书:
在个人 - 证书右点空白处 - 所有任务 - 导入证书,导入证书时选择第一部分的pfx证书。在此过程会要求输入备份密码。
这样我们就将最终证书真正意义上导入到TMG所在服务器中了。
第三部分:使用TMG发布站点
打开TMG,在防火墙策略中可以看到下图界面。
点击工具箱 - 网络对象 - WEB 侦听器,右击Web 仙听器,新建WEB侦听器,
然后输入任意名称,仅做标识用途。
因为我们这里要部署SSL数字证书,所以我们选择“需要与客户端建立SSL安全链接”。如果此处选择此项的话,在新建过程中会要求选择SSL数字证书,如果想在后面自行修改,可选择“不需要与客户端建立SSL安全链接”。
选择“外部”选项所有IP地址,表示不限制IP地址。
选择第二部分导入的证书,如果导入证书不合法(例如不含私钥),那么这一步将进行不了。
依次默认下一步到最后“完成新建Web侦听器向导”。
第四部分:部署SSL数字证书
此处接第二部分,我们在第二部分选择“不需要与客户端建立SSL安全链接”,在此配置SSL数字证书
右击我们创建好的非https版Web侦听器 - 属性,可以看到下图内容。
点击“连接”选项卡,设置80,443端口以及可能需要的重定向,这里等同于IIS的重定向。
切换到“证书”选项卡选择第二部分导入的证书,同样如果证书不合法(不含私钥),将无法选择。
最后应用、确定成功之后,需要给TMG点击应用刚才以上的设置。
这个过程很快完成,这样我们就完成了TMG上的证书部署
第五部分:端口映射
这时候,就算我们户用了应用服务器(内网)的IIS,然后我们访问该应用服务器的80,443端口可能都无法访问。
首先我们要检查防火墙的入站规则
所有可能的防火墙规则都要进行检查,详情查看:IIS配置证书端口443无法访问
其次我们要检查端口是否映射
类似应用防火墙或者物理机到虚拟机,都是要通过端口映射,在没有路由修改的条件下,可参考:Windows服务器中命令行添加端口映射。
到此,我们基于TMG的创建及维护SSL证书就完成了。
