Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006 – Phần 2

Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006 – Phần 2Trong phần hai này chúng tôi sẽ hướng dẫn các bạn cách sử dụng các chứng chỉ số trong các kịch bản web chain và reverse publish.Giới thiệu Chúng ta sẽ bắt đầu bằng một giới thiệu vắn tắt về các kiểu chứng chỉ được sử dụng trong kịch bản publish an toàn và sau đó sẽ giới thiệu về chức năng mà các chứng chỉ SAN (SAN = Subject Alternate Name) cung cấp cũng như những điểm khác biệt của chúng với...
Nội dung trích xuất từ tài liệu:
Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006 – Phần 2Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006 – Phần 2Trong phần hai này chúng tôi sẽ hướng dẫn các bạn cách sử dụng các chứngchỉ số trong các kịch bản web chain và reverse publish.Giới thiệuChúng ta sẽ bắt đầu bằng một giới thiệu vắn tắt về các kiểu chứng chỉ đượcsử dụng trong kịch bản publish an toàn và sau đó sẽ giới thiệu về chức năngmà các chứng chỉ SAN (SAN = Subject Alternate Name) cung cấp cũng nhưnhững điểm khác biệt của chúng với các chứng chỉ cổ điển, chẳng hạn nhưcác chứng chỉ wildcard.Các kiểu chứng chỉCó ba kiểu chứng chỉ thường được sử dụng:  Chứng chỉ thông thường  Chứng chỉ wildcard  Chứng chỉ SAN (Subject Alternate Name)Chứng chỉ thông thườngMột chứng chỉ thông thường là một chứng chỉ “classic”. Kiểu chứng chỉ nàyđược sử dụng cho một FQDN (Fully Qualified Domain Name) cũng đượcbiết đến như một DNS hostname giống như owa.it-training-grote.de.Chứng chỉ WildcardChứng chỉ Wildcard thường được sử dụng khi một công ty cần publish cáchostname khác nhau với cùng một tên miền. Thay vì sử dụng nhiều chứngchỉ thông thường, chúng ta có thể sử dụng kiểu chứng chỉ này. Ví dụ nhưnếu bạn mua một chứng chỉ wildcard cho *.it-training-grote.de, khi đó bạnhoàn toàn có thể sử dụng chứng chỉ để publish các webserver với nó, với cáctên owa.it-training-grote.de và www.it-training-grote.de.Chứng chỉ SANCác chứng chỉ SAN (Subject Alternate Name) cũng được gọi là chứng chỉmiền hoặc chứng chỉ Unified Communication (UC). Với sự trợ giúp của cácchứng chỉ SAN, chúng ta hoàn toàn có thể publish nhiều FQDN ới cùng mộthoặc khác tên Top Level Domain (TLD).Cho ví dụ:owa.it-training-grote.dewww.it-training-grote.deServer01Server01.exchange.internalAutodiscover.exchange.internalAutodiscover.it-training-grote.deChứng chỉ SAN được sử dụng rộng rãi trong các kịch bản publish củaExchange Server có hoặc không có ISA Server 2006.Những nâng cao trong ISA Server 2006 Service Pack 1ISA Server 2006 Service Pack 1 hỗ trợ sử dụng các chứng chỉ SAN. TrướcISA Server 2006 Service Pack 1, ISA Server chỉ kiểm tra tên chứng chỉ vàbỏ qua các tên bổ sung trong trường SAN của chứng chỉ.Sử dụng chứng chỉ tự kýCó một cách để sử dụng các chứng chỉ cho việc publish ISA Server là sửdụng công cụ SELFSSL.EXE từ bộ kit của IIS 6. Với sự trợ giúp của côngcụ SELFSSL, các quản trị viên có thể tạo các chứng chỉ cho các CommonName (CN). Hình 1: SELFSSL từ IIS 6 Resource KitVì chứng chỉ tự ký không được phát hành bởi một CA Root tin cậy nênngười dùng phải tự đặt chứng chỉ tự ký trong kho lưu trữ CA Root tin cậytrên ISA Server nội bộ. Hình 2: Snap-In bổ sung chứng chỉTiếp đến, chọn tài khoản máy tính nội bộ với tư cách kho lưu trữ chứng chỉđể thấy tất cả các chứng chỉ đã được cài đặt, đây là các chứng chỉ mà ISAServer sẽ sử dụng cho các kịch bản publish và webchain. Hình 3: Hiển thị chứng chỉ trong kho lưu trữCác chứng chỉ Root CA tin cậyISA Server bảo đảm cho mỗi chứng chỉ được sử dụng có thể được thẩm địnhđối với CA phát hành. ISA Server kiểm tra chuỗi chứng chỉ đối với RootCA. Danh sách các CA root tin cậy có thể được tìm thấy trong kho lưu trữmáy tính nội bộ trên máy ISA Server 2006. Hình 4: Các chứng chỉ Root CA tin cậyCác chứng chỉ được sử dụng trong kịch bản Web chainMột trong những tính năng kém được sử dụng trong ISA Server 2006 là việcsử dụng các chứng chỉ trong kịch bản web chain. Web chain được sử dụngđể xâu chuỗi lưu lượng web từ ISA Server với Webproxy khác giống ISAServer. Để sử dụng một chứng chỉ trong kịch bản webchain, người dùngphải có các điều kiện tiên quyết dưới đây:  Có một chứng chỉ thẩm định máy khách  Được tin tưởng bởi một CA root  Có khóa riêng được cài đặt trong kho lưu trữ chứng chỉ máy tính nội bộ  Kho lưu trữ chứng chỉ cá nhân Được cài đặt trong tài khoản dịch vụ tường lửa Hình 5: Chọn các chứng chỉ trong kịch bản Web chainExchange Remote Connectivity AnalyzerMicrosoft Exchange Remote Connectivity Analyzer là một công cụ rất hữudụng cho việc test các kiểu publish khác nhau có hoặc không có ISA Server,không sử dụng các công cụ yêu cầu như Microsoft Outlook. ExchangeRemote Connectivity Analyzer cũng rất hữu dụng cho việc thẩm định việctriển khai đúng các chứng chỉ trên Exchange Client Access Server (CAS)hoặc trên ISA Server. Hình 6: Exchange Remote Connectivity AnalyzerISA Server 2006 Best Practice AnalyzerMột tiện ích khắc phục sự cố hữu dụng nữa với các vấn đề của chứng chỉcho ISA Server 2006 là ISA Server 2006 Best Practice Analyzer, đây là bộphân tích cài đặt ISA Server với cơ sở dữ liệu bằng các thực hành tốt nhất từMicrosoft để tìm ra các lỗi cấu hình có thể hoặc các vấn đề có liên quan. Vớ ...