Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006 – P2

Quản trị mạng – Trong phần hai này chúng tôi sẽ hướng dẫn các bạn cách sử dụng các chứng chỉ số trong các kịch bản web chain và reverse publish. Giới thiệu Chúng ta sẽ bắt đầu bằng một giới thiệu vắn tắt về các kiểu chứng chỉ được sử dụng trong kịch bản publish an toàn và sau đó sẽ giới thiệu về chức năng mà các chứng chỉ SAN (SAN = Subject Alternate Name) cung cấp cũng như những điểm khác biệt của chúng với các chứng chỉ cổ điển, chẳng hạn như các chứng chỉ wildcard....
Nội dung trích xuất từ tài liệu:
Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006 – P2Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006 – Phần 2Quản trị mạng – Trong phần hai này chúng tôi sẽ hướng dẫn các bạn cách sửdụng các chứng chỉ số trong các kịch bản web chain v à reverse publish.Giới thiệuChúng ta sẽ bắt đầu bằng một giới thiệu vắn tắt về các kiểu chứng chỉ đ ược sửdụng trong kịch bản publish an toàn và sau đó sẽ giới thiệu về chức năng m àcác chứng chỉ SAN (SAN = Subject Alternate Name) cung cấp cũng nh ưnhững điểm khác biệt của chúng với các chứng chỉ cổ điể n, chẳng hạn như cácchứng chỉ wildcard.Các kiểu chứng chỉCó ba kiểu chứng chỉ thường được sử dụng: Chứng chỉ thông thường  Chứng chỉ wildcard  Chứng chỉ SAN (Subject Alternate Name) Chứng chỉ thông thườngMột chứng chỉ thông thường là một chứng chỉ “classic”. Kiểu chứng chỉ nàyđược sử dụng cho một FQDN (Fully Qualified Domain Name) cũng đ ược biếtđến như một DNS hostname giống nh ư owa.it-training-grote.de.Chứng chỉ WildcardChứng chỉ Wildcard thường được sử dụng khi một công ty cần publish cáchostname khác nhau với cùng một tên miền. Thay vì sử dụng nhiều chứng chỉthông thường, chúng ta có thể sử dụng kiểu chứng chỉ n ày. Ví dụ như nếu bạnmua một chứng chỉ wildcard cho *.it -training-grote.de, khi đó bạn hoàn toàn cóthể sử dụng chứng chỉ để publish các webserver với nó, với các tên owa.it-training-grote.de và www.it -training-grote.de.Chứng chỉ SANCác chứng chỉ SAN (Subject Alternate Name) cũng đ ược gọi là chứng chỉmiền hoặc chứng chỉ Unified Communication (UC). Với sự trợ giúp của cácchứng chỉ SAN, c húng ta hoàn toàn có th ể publish nhiều FQDN ới c ùng mộthoặc khác tên Top Level Domain (TLD).Cho ví dụ:owa.it-training-grote.dewww.it-training-grote.deServer01Server01.exchange.internalAutodiscover.exchange.internalAutodiscover.it-training-grote.deChứng chỉ SAN được sử dụng rộng rãi trong các kịch bản publish củaExchange Server có hoặc không có ISA Server 2006.Những nâng cao trong ISA Server 2006 Service Pack 1ISA Server 2006 Service Pack 1 hỗ trợ sử dụng các chứng chỉ SAN. Tr ướcISA Server 2006 Service Pack 1, ISA Server chỉ kiểm tra tên chứng chỉ và bỏqua các tên bổ sung trong trường SAN của chứng chỉ.Sử dụng chứng chỉ tự kýCó một cách để sử dụng các chứng chỉ cho việc publish ISA Server l à sử dụngcông cụ SELFSSL.EXE từ bộ kit của IIS 6. Với sự trợ giúp của công cụSELFSSL, các quản trị viên có thể tạo các chứng chỉ cho các Common Name(CN). Hình 1: SELFSSL từ IIS 6 Resource KitVì chứng chỉ tự ký không được phát hành bởi một CA Root tin cậy nên ngườidùng phải tự đặt chứng chỉ tự ký trong kho lưu trữ CA Root tin cậy trên ISAServer nội bộ. Hình 2: Snap-In bổ sung chứng chỉTiếp đến, chọn tài khoản máy tính nội bộ với t ư cách kho lưu trữ chứng chỉ đểthấy tất cả các chứng chỉ đã được cài đặt, đây là các chứng chỉ mà ISA Serversẽ sử dụng cho các kịch bản publish và webchain. Hình 3: Hiển thị chứng chỉ trong kho l ưu trữCác chứng chỉ Root CA tin cậyISA Server bảo đảm cho mỗi chứng chỉ đ ược sử dụng có thể được thẩm địnhđối với CA phát hành. ISA Server ki ểm tra chuỗi chứng chỉ đối với Root CA.Danh sách các CA root tin cậy có thể được tìm thấy trong kho l ưu trữ máy tínhnội bộ trên máy ISA Server 2006. Hình 4: Các chứng chỉ Root CA tin cậyCác chứng chỉ được sử dụng trong kịch bản Web chainMột trong những tính năng kém đ ược sử dụng trong ISA Server 2006 là việcsử dụng các chứng chỉ trong kịch bản web chain. Web chain đ ược sử dụng đểxâu chuỗi lưu lượng web từ ISA Server với Webproxy khác giống ISA Server.Để sử dụng một chứng chỉ trong kịch bản webchain, ng ười dùng phải có cácđiều kiện tiên quyết dưới đây: Có một chứng chỉ thẩm định máy khách  Được tin tưởng bởi một CA root  Có khóa riêng được cài đặt trong kho l ưu trữ chứng chỉ máy tính nội bộ  Kho lưu trữ chứng chỉ cá nhân Được cài đặt trong tài khoản dịch vụ  tường lửa Hình 5: Chọn các chứng chỉ trong kịch bản Web chainExchange Remote Connectivity AnalyzerMicrosoft Exchange Remote Connectivity Analyzer là m ột công cụ rất hữudụng cho việc test các kiểu publish khác nhau có hoặc không có ISA Server,không sử dụng các công cụ y êu cầu như Microsoft Outlook. Exchange RemoteConnectivity Analyzer c ũng rất hữu dụng cho việc thẩ m định việc triển khaiđúng các chứng chỉ trên Exchange Client Access Server (CAS) hoặc trên ISAServer. Hình 6: Exchange Remote Connectivity AnalyzerISA Server 2006 Best Practice AnalyzerMột tiện ích khắc phục sự cố hữu dụng nữa với các vấn đề của chứ ng chỉ choISA Server 2006 là ISA Server 2006 Best Practice Analyzer, đây là b ộ phântích cài đặt ISA Server với c ơ sở dữ liệu bằng các thực hành tốt nhất từMic ...