Installationsanweisungen für Microsoft ISA 2000 Server
So richten Sie den Internet Security and Acceleration Server zum Hosten von Websites mithilfe des SSL-Protokolls (Secure Sockets Layer) ein
Diese Informationen gelten für: Microsoft Internet Security and Acceleration Server 2000
- Sie müssen zuerst das SSL-Zertifikat der Website mit dem zugehörigen privaten Schlüssel exportieren. Wenn Sie diesen Schlüssel nicht haben, können Sie dieses Zertifikat auf dem ISA-Server nicht für SSL verwenden:
- Öffnen Sie eine leere Microsoft Management Console (MMC).
- Fügen Sie das Zertifikat-Snap-In hinzu.
- Wählen Sie auf Anfrage die Optionen für 'Computerkonto' und 'Lokaler Computer'.
- Erweitern Sie Persönlich und anschließend Zertifikate. In der Spalte "Ausgestellt an" sollte ein Zertifikat mit dem Namen Ihrer Website angezeigt werden.
- Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Alle Aufgaben und dann Exportieren.
- Klicken Sie im Exportfenster auf Weiter.
- Klicken Sie auf Ja, stellen Sie sicher, dass Sie "Privaten Schlüssel exportieren" auswählen, und klicken Sie dann auf "Weiter".
HINWEIS: Wenn Sie nicht die Möglichkeit haben, den privaten Schlüssel zu exportieren, wurde der private Schlüssel bereits auf einen anderen Computer exportiert oder der Schlüssel war auf diesem Computer nie vorhanden. Sie können dieses Zertifikat nicht auf ISA Server verwenden. Sie müssen ein neues Zertifikat für diese Site für ISA Server anfordern.
- Wählen Sie die Option für den Austausch persönlicher Informationen aus und aktivieren Sie die entsprechenden Kontrollkästchen für alle drei Unteroptionen.
- Weisen Sie ein Passwort zu und bestätigen Sie es.
- Weisen Sie einen Dateinamen und einen Speicherort zu.
- Klicken Sie auf Fertig stellen.
HINWEIS: Stellen Sie sicher, dass Sie die Datei sicher aufbewahren. Das SSL-Protokoll hängt von dieser Datei ab.
- Kopieren Sie die von Ihnen erstellte Datei auf ISA Server.
- Öffnen Sie auf dem ISA-Server die MMC:
- Fügen Sie das Zertifikat-Snap-In wie zuvor beschrieben hinzu.
- Klicken Sie auf den Ordner Persönlich.
- Klicken Sie mit der rechten Maustaste auf Alle Aufgaben, und klicken Sie dann auf Importieren.
- Klicken Sie im Import-Assistenten auf Weiter.
- Stellen Sie sicher, dass Ihre Datei aufgelistet ist, und klicken Sie dann auf Weiter.
- Geben Sie das Passwort für die Datei ein (zuvor erstellt).
- Aktivieren Sie in der Unteroption das Kontrollkästchen "Privaten Schlüssel als exportierbar markieren".
- Belassen Sie die Importeinstellung auf "Automatisch" und klicken Sie dann auf "Weiter". Klicken Sie auf Fertig stellen.
- Jetzt müssen Sie die Stamm- und Zwischenzertifikate importieren.
- Klicken Sie auf die Schaltfläche Start, wählen Sie Ausführen und geben Sie mmc ein
- Klicken Sie auf Datei und wählen Sie Snap-In hinzufügen / entfernen
- Wählen Sie Hinzufügen, wählen Sie Zertifikate aus dem Feld Standalone-Snap-In hinzufügen und klicken Sie auf Hinzufügen
- Wählen Sie Computerkonto und klicken Sie auf Fertig stellen
- Schließen Sie das Feld Standalone-Snap-In hinzufügen und klicken Sie im Snap-In hinzufügen / entfernen auf OK
- Kehren Sie zur MMC zurück
- So installieren Sie das GTECyberTrustRoot-Zertifikat:
- Klicken Sie mit der rechten Maustaste auf die vertrauenswürdigen Stammzertifizierungsstellen, wählen Sie Alle Aufgaben und dann Importieren.
- Weiter klicken.
- Suchen Sie das GTECyberTrustRoot-Zertifikat und klicken Sie auf Weiter.
- Wenn der Assistent abgeschlossen ist, klicken Sie auf Fertig stellen.
- So installieren Sie das ComodoSecurityServices-Zertifikat:
- Klicken Sie mit der rechten Maustaste auf die Zwischenzertifizierungsstellen, wählen Sie Alle Aufgaben und dann Importieren.
- Schließen Sie den Importassistenten erneut ab, wählen Sie diesmal jedoch das ComodoSecurityServices-Zertifikat aus, wenn Sie zur Eingabe der Zertifikatdatei aufgefordert werden.
- Stellen Sie sicher, dass das GTECyberTrustRoot-Zertifikat unter Vertrauenswürdige Stammzertifizierungsstellen und die ComodoSecurityServices unter angezeigt werden
- Zwischenzertifizierungsstellen.
Wichtig: Sie müssen jetzt den Computer neu starten, um die Installation abzuschließen.
- Wenn unter dem Ordner "Persönlich" ein Unterordner mit dem Namen "Zertifikate" angezeigt wird, klicken Sie auf "Zertifikate" und überprüfen Sie, ob ein Zertifikat mit dem Namen des Webcomputers vorhanden ist.
- Klicken Sie mit der rechten Maustaste auf das Zertifikat und klicken Sie dann auf Eigenschaften.
- Wenn das Feld "Verwendungszweck" des Zertifikats auf "Alle" und nicht auf eine Liste bestimmter Zwecke gesetzt ist, müssen die folgenden Schritte ausgeführt werden, bevor das Zertifikat von ISA Server erkannt werden kann:
- Öffnen Sie im Snap-In "Zertifikatdienste" das Dialogfeld "Eigenschaften" des entsprechenden Zertifikats. Ändern Sie die Option Alle Zwecke für dieses Zertifikat aktivieren in die Option Nur die folgenden Zwecke aktivieren, wählen Sie alle Elemente aus und klicken Sie dann auf Übernehmen.
- Öffnen Sie den ISA Manager und schließen Sie die SSL-Installation ab:
- Klicken Sie mit der rechten Maustaste auf den Server, der die eingehende Verbindung akzeptiert, und klicken Sie auf Eigenschaften.
- Klicken Sie auf die Registerkarte Eingehende Webanforderungen.
- Klicken Sie auf den IP-Adresseintrag (Internet Protocol) für die Site, die Sie hosten möchten, oder auf den Eintrag "Alle IP-Adressen", wenn Sie keine individuellen IP-Adressen eingerichtet haben.
- Klicken Sie auf Bearbeiten.
- Aktivieren Sie das Kontrollkästchen Serverzertifikat zur Authentifizierung bei Webbenutzern verwenden.
- Klicken Sie auf Auswählen.
- Wählen Sie Ihr zuvor importiertes Zertifikat aus.
- Klicken Sie auf OK.
- Aktivieren Sie das Kontrollkästchen SSL-Listener aktivieren.
- Erweitern Sie den Ordner "Veröffentlichen" und klicken Sie auf Webveröffentlichungsregeln.
- Doppelklicken Sie auf die Web Publishing-Regel, die den SSL-Verkehr weiterleitet.
- Wählen Sie auf der Registerkarte Bridging die Option zum Umleiten von SSL-Anforderungen wie folgt aus: 'HTTP-Anforderungen (Beenden des sicheren Kanals am Proxy)'. OK klicken.
- Starten Sie ISA Server neu.
Siehe auch: http://support.microsoft.com/default.aspx?scid=kb;US;292569