SSL 橋接和通道

  • 發行項
Cc723733.community-sm(zh-tw,TechNet.10).gif本頁索引

SSL 橋接
SSL 通道

Microsoft ISA Server 2000 Feature Pack 1,第 1 版

Secure Sockets Layer (SSL) 橋接和通道是 ISA Server 處理 SSL 要求的方式。SSL 橋接是指在網頁發佈案例中,ISA Server 是以 SSL (HTTPS) 或者是以 HTTP 將 SSL 要求傳送到內部網頁伺服器。SSL 通道是指將內送 SSL 要求轉送到內部伺服器的伺服器發佈使用。SSL 通道也是指如何將內部用戶端的外送 SSL 要求,傳送至網際網路上的網頁伺服器。

下表中將比較 SSL 橋接和 SSL 通道在內送要求上的不同

SSL 橋接和 SSL 通道

  優點 缺點
SSL 橋接 (將 SSL 要求重新導向為 SSL) 提供網頁發佈的優點,例如能根據主機標頭決定規則。 當 SSL 連線終止時,會於 ISA Server 檢查資料,然後在內部重新建立。 數位憑證也必須在 ISA Server 電腦上設定。 假如憑證是由內部網頁伺服器所匯出,可能會發生名稱解析的問題。如需詳細資訊,請參閱請參閱本文稍後的<SSL 橋接和數位憑證>一節。
SSL 橋接 (將 SSL 要求重新導向為 HTTP) 提供網頁發佈的優點,例如能根據主機標頭決定規則。 當 ISA Server 上的 SSL 連線終止時,會於 ISA server 檢查資料。 數位憑證也必須在 ISA Server 電腦上設定。 ISA Server 電腦與網頁伺服器電腦之間的傳輸不會加密。
SSL 通道 使用伺服器發佈規則即可輕鬆設定。 用戶端至伺服器端的加密 SSL 通道。 不提供網頁發佈功能。 ISA Server 不會攔截 SSL 通訊傳輸,而加密資料則會未經檢查就轉寄到內部網路中的最終目的地。
### SSL 橋接 如果您所發佈的伺服器需要安全的 SSL 通訊,則您的 ISA Server 電腦上必須有安裝 SSL 憑證。此外,網頁伺服器上可能要安裝 SSL 憑證。在任一種情況下,為了確保 SSL 要求是使用適當的通訊協定從 ISA Server 電腦傳送到網頁伺服器,您必須相對地設定 SSL 橋接。 Secure Sockets Layer (SSL) 橋接是每個網頁發佈規則的屬性。SSL 橋接會判斷 ISA Server 系統接收到的 SSL 要求在傳送至網頁伺服器時,究竟是以 SSL 要求或是 HTTP 要求加以傳送。判斷方法如下: - 如果網頁伺服器中沒有安裝 SSL 憑證,會將 SSL 及 HTTP 要求以 HTML 要求的形式傳送至網頁伺服器。SSL 安全通訊是由 ISA Server 負責處理,內部則以 HTTP 繼續進行。 - 如果網頁伺服器中安裝了 SSL 憑證,會將 SSL 要求以 SSL 要求的形式、HTTP 要求以 HTTP 要求的形式傳送至網頁伺服器。在這種情況下,SSL 安全通訊會在外部用戶端通往 ISA Server 上以及 ISA Server 通往網頁伺服器層級上同時發生。 如果網頁伺服器中安裝了 SSL 憑證,而您希望 ISA Server 接聽 SSL 要求但是不再購買額外的憑證,您必須將憑證自網頁伺服器匯出,並將其匯入 ISA Server 系統中。如需詳細資訊,請參閱 <HOW TO:Export, Install, and Configure Certificates to Internet Security and Acceleration Server>([https://go.microsoft.com/fwlink/?LinkID=10713](https://go.microsoft.com/fwlink/?linkid=10713))。 ### 修改 SSL 橋接設定 1. 按一下 \[Web Publishing Rules\] 節點。 2. 連按兩下適用的網頁發佈規則。 3. 選取 \[Bridging\] 索引標籤。 4. 為前兩個重新導向選項,選取適當的重新導向設定: - 如果您是使用 ISA Server SSL 憑證來處理 SSL 要求 (網頁伺服器未安裝 SSL 憑證),請在 \[Redirect HTTP requests as:\]和 \[Redirect SSL requests as:\] 選取 \[HTTP requests\],然後按一下 \[OK\]。設定如下圖所示。 [![SSLB01.GIF](images/Cc723733.SSLB01(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/cc723733.sslb01(zh-tw,technet.10).gif) - 如果您想繼續在網頁伺服器上使用現有的 SSL 憑證以及 ISA Server 上的憑證,在 \[Redirect HTTP requests as:\] 中選取 \[HTTP requests\],同時在 \[Redirect SSL requests as:\] 中選取 \[SSL requests\],然後按一下 \[OK\]。 > **注意:** SSL \[Bridging\] 索引標籤上有另外兩個選項: - \[Require secure channel (SSL) for published site\] 會拒絕 ISA Server 接收的 HTTP 要求。這個選項也可以為 HTTPS 要求傳回 128 位元加密。 - \[Use a certificate to authenticate to the SSL Web server\] 可讓您指定用戶端憑證,ISA Server 可以用它來驗證其自身能否用於網頁伺服器。 ### SSL 橋接和數位憑證 使用 SSL 橋接進行網頁發佈時會有一個常見問題,即網頁發佈規則的 \[Action\] 標籤中所提供的伺服器名稱或 IP 位址,會與數位 (SSL) 憑證中的名稱不相符,而這將會導致網頁用戶端接收到「500 內部伺服器錯誤」頁面。 這個問題可採用下列其中一種方法解決: - 取得符合伺服器名稱的新憑證。 - 變更網頁發佈規則的 \[Action\] 索引標籤中的伺服器名稱,使其符合憑證中的名稱,並設定區域 DNS 伺服器,以對應內部網頁伺服器中的名稱。 - 變更網頁發佈規則的 \[Action\] 索引標籤中的伺服器名稱,使其符合憑證中上的名稱;然後在 ISA Server 電腦上的檔案 WINNT\\system32\\drivers\\etc\\hosts 中,新增一個從憑證 (\[Action\] 索引標籤) 名稱到內部網頁伺服器 IP 位址的對應。 如需詳細資訊,請參閱 Troubleshooting\_Web\_Publishing.doc。 [](#mainsection)[回到頁首](#mainsection) ### SSL 通道 內送 SSL 通道 ------------- 內送 SSL 通道是指使用 HTTPS 通訊協定的伺服器發佈規則來發佈內部伺服器時所用的機制,內部伺服器的發佈對象可以是所有 HTTPS 要求,也可以透過用戶端位址集將發佈對象限定為特定用戶端。 內部伺服器中要安裝 SSL 憑證,才能應用內送 SSL 通道。 ### 建立用戶端位址集 為那些允許使用 HTTPS 通訊協定存取伺服器的電腦,建立代表它們的用戶端位址集,如果您打算讓所有 HTTPS 要求都可以存取伺服器,請略過此步驟。 ### 建立用戶端位址集 1. 在 ISA Management 的主控台樹狀目錄中,在 \[Client Address Sets\] 上按一下滑鼠右鍵,並指到 \[New\],然後按一下 \[Set\]。 2. 在 \[Client Set\] 對話方塊中,為用戶端位址集命名,例如 Clients for the HTTPS server。您也可以為此位址集提供說明 (選用)。 3. 按一下 \[Add\]。 4. 在 \[Add/Edit IP Addresses\] 對話方塊中,使用 \[From\] 和 \[To\] 欄位定義電腦 IP 位址範圍,這些電腦將可以存取伺服器。您可以重複步驟 3 和 4,以新增其他 IP 位址範圍。若只要新增單台電腦,請在 \[From\] 和 \[To\] 欄位中填入相同的 IP 位址。 5. 在 \[Client Set\] 對話方塊中,按一下 \[OK\]。 ### 建立伺服器發佈規則 ### 建立 HTTPS 通訊協定的伺服器發佈規則 1. 在 ISA Management 的主控台樹狀目錄中,在 \[Server Publishing Rules\] 上按一下滑鼠右鍵,並指到 \[New\],然後按一下 \[Rule\]。 2. 在 \[Server Publishing Rule Name\] 欄位中,輸入規則名稱,例如 Publish Internal Server for HTTPS protocol,然後按一下 \[Next\]。 3. 在 \[Address Mapping\] 頁面中,輸入內部伺服器的 IP 位址以及 ISA Server 電腦外部網路介面卡的 IP 位址,然後按一下 \[Next\]。 4. 在 \[Protocol Settings\] 頁面中,選取 \[HTTPS Server\]。 5. 如果您打算讓所有 HTTPS 要求都可以存取伺服器,請在 \[Client Type\] 頁面中選取 \[Any request\];或者如果您打算限制特定電腦才可以存取伺服器,請選取 \[Specific computers (client address sets)\],然後按一下 \[Next\]。 6. 如果在步驟 5 中選取 \[Specific computers (client address sets)\],就會看到 \[Client Sets\] 頁面 (如果沒有,請進行步驟 7)。在這個頁面指定所建立的用戶端位址集,然後按一下 \[Next\]。 7. 檢查 \[Summary\] 頁面上的資訊,然後按一下 \[Finish\]。 外送 SSL 通道 ------------- 每當用戶端瀏覽器透過 ISA Server 要求 HTTPS 物件時,就會使用 SSL 通道。Secure Sockets Layer (SSL) 通道會透過 ISA Server 電腦建立一條的通道,直接通往要求 Secure Hypertext Transfer Protocol (HTTPS) 物件的外部網頁伺服器。下圖說明 SSL 通道處理程序: ### SSL 通道 ![SSLB02.GIF](images/Cc723733.SSLB02(zh-tw,TechNet.10).gif) 1. 用戶端藉由在瀏覽器網址欄位鍵入下列位址,向網際網路上的網頁伺服器要求一個 SSL 物件: 
`https://URL_name`

  1. 下列要求會傳送至 ISA Server 電腦上的連接埠 8080:

    CONNECT Server_name:443 HTTP/1.1

  2. ISA Server 會在連接埠 443 與目的地網頁伺服器連線。

  3. 當建立 TCP 連線後,ISA Server 會傳回:

    HTTP/1.1 200 connection established

此後用戶端可直接與外部網頁伺服器進行溝通。

回到頁首