คำแนะนำในการติดตั้งสำหรับเซิร์ฟเวอร์ Microsoft ISA 2000
วิธีการตั้งค่าความปลอดภัยของอินเทอร์เน็ตและเซิร์ฟเวอร์เร่งความเร็วไปยังโฮสต์เว็บไซต์โดยใช้โพรโทคอล Secure Sockets Layer (SSL)
ข้อมูลนี้ใช้กับ: Microsoft Internet Security และ Acceleration Server 2000
- คุณต้องส่งออกใบรับรอง SSL ของเว็บไซต์ด้วยรหัสส่วนตัวที่เกี่ยวข้อง หากคุณไม่มีคีย์นี้เซิร์ฟเวอร์ ISA จะไม่อนุญาตให้คุณใช้ใบรับรองนี้สำหรับ SSL:
- เปิดคอนโซลการจัดการของ Microsoft ที่ว่างเปล่า (MMC)
- เพิ่มสแน็ปอินใบรับรอง
- เมื่อได้รับการร้องขอให้เลือกตัวเลือกสำหรับ 'บัญชีคอมพิวเตอร์' และ 'คอมพิวเตอร์เฉพาะที่'
- ขยายส่วนบุคคลแล้วขยายใบรับรอง คุณควรเห็นใบรับรองที่มีชื่อเว็บไซต์ของคุณในคอลัมน์ "ออกให้"
- คลิกขวาที่ใบรับรองเลือกงานทั้งหมดจากนั้นเลือกส่งออก
- บนหน้าต่างส่งออกคลิกถัดไป
- คลิกใช่ตรวจสอบให้แน่ใจว่าคุณได้เลือก 'ส่งออกคีย์ส่วนตัว' จากนั้นคลิกถัดไป
หมายเหตุ: หากคุณไม่มีตัวเลือกในการส่งออกคีย์ส่วนตัวดังนั้นคีย์ส่วนตัวนั้นได้ถูกส่งออกไปยังคอมพิวเตอร์เครื่องอื่นหรือไม่เคยมีรหัสบนคอมพิวเตอร์เครื่องนี้ คุณไม่สามารถใช้ใบรับรองนี้บนเซิร์ฟเวอร์ ISA คุณต้องขอใบรับรองใหม่สำหรับไซต์นี้สำหรับเซิร์ฟเวอร์ ISA
- เลือกตัวเลือกสำหรับ 'การแลกเปลี่ยนข้อมูลส่วนบุคคล' จากนั้นคลิกเพื่อเลือกกล่องกาเครื่องหมายที่เหมาะสมสำหรับตัวเลือกย่อยทั้งสาม
- กำหนดรหัสผ่านและยืนยัน
- กำหนดชื่อไฟล์และที่ตั้ง
- คลิกเสร็จสิ้น
หมายเหตุ: ตรวจสอบให้แน่ใจว่าคุณเก็บไฟล์อย่างปลอดภัยโปรโตคอล SSL จะขึ้นอยู่กับไฟล์นี้
- คัดลอกไฟล์ที่คุณสร้างไปยังเซิร์ฟเวอร์ ISA
- บนเซิร์ฟเวอร์ ISA เปิด MMC:
- เพิ่ม Certificate Snap-in ตามคำแนะนำก่อนหน้านี้
- คลิกที่โฟลเดอร์ส่วนบุคคล
- คลิกขวาที่ภารกิจทั้งหมดจากนั้นคลิกนำเข้า
- คลิกถัดไปบนตัวช่วยสร้างการนำเข้า
- ตรวจสอบให้แน่ใจว่าไฟล์ของคุณอยู่ในรายการแล้วคลิกถัดไป
- ป้อนรหัสผ่านสำหรับไฟล์ (สร้างไว้ก่อนหน้านี้)
- ในตัวเลือกย่อยให้คลิกเพื่อเลือกกล่องกาเครื่องหมาย 'ทำเครื่องหมายคีย์ส่วนตัวว่าสามารถส่งออกได้'
- ปล่อยให้การตั้งค่าการนำเข้าเป็น 'โดยอัตโนมัติ' จากนั้นคลิกถัดไป คลิกเสร็จสิ้น
- ตอนนี้คุณจะต้องนำเข้าใบรับรองรูทและสื่อกลาง
- คลิกที่ปุ่ม Start จากนั้นเลือก Run และพิมพ์ mmc
- คลิกไฟล์และเลือกเพิ่ม / ลบสแนปอิน
- เลือกเพิ่มเลือกใบรับรองจากกล่องเพิ่มสแนปอินแบบสแตนด์อโลนแล้วคลิกเพิ่ม
- เลือกบัญชีคอมพิวเตอร์และคลิกเสร็จสิ้น
- ปิดการเพิ่มสแนปอินแบบสแตนด์อโลนกล่องคลิกตกลงในการเพิ่ม / เอาสแนปอิน
- กลับไปที่ MMC
- ในการติดตั้งใบรับรอง GTECyberTrustRoot:
- คลิกขวาที่ผู้ออกใบรับรองหลักที่เชื่อถือได้เลือกงานทั้งหมดและเลือกนำเข้า
- คลิกถัดไป
- ค้นหา GTECyberTrustRoot Certificate และคลิกถัดไป
- เมื่อวิซาร์ดเสร็จสิ้นให้คลิกเสร็จสิ้น
- ในการติดตั้งใบรับรอง ComodoSecurityServices:
- คลิกขวาที่ Intermediate Certification Authorities เลือก All Tasks แล้วเลือก Import
- ดำเนินการตัวช่วยสร้างการนำเข้าอีกครั้ง แต่คราวนี้เลือกใบรับรอง ComodoSecurityServices เมื่อได้รับพร้อมท์สำหรับไฟล์ใบรับรอง
- ตรวจสอบให้แน่ใจว่าใบรับรอง GTECyberTrustRoot ปรากฏภายใต้ Trusted Root Certification Authorities และ ComodoSecurityServices ปรากฏภายใต้
- ผู้ออกใบรับรองระดับกลาง
สิ่งสำคัญ: คุณต้องรีสตาร์ทคอมพิวเตอร์เพื่อให้การติดตั้งเสร็จสมบูรณ์
- ภายใต้โฟลเดอร์ส่วนบุคคลเมื่อโฟลเดอร์ย่อยที่เรียกว่า 'ใบรับรอง' ปรากฏขึ้นให้คลิกใบรับรองและตรวจสอบว่ามีใบรับรองที่มีชื่อของเว็บคอมพิวเตอร์
- คลิกขวาที่ใบรับรองแล้วคลิกคุณสมบัติ
- หากฟิลด์ 'วัตถุประสงค์ที่ตั้งใจ' ของใบรับรองถูกตั้งค่าเป็น 'ทั้งหมด' แทนที่จะเป็นรายการวัตถุประสงค์เฉพาะต้องปฏิบัติตามขั้นตอนต่อไปนี้ก่อนที่เซิร์ฟเวอร์ ISA จะสามารถรับรู้ใบรับรองได้:
- ใน Certificate Services สแน็ปอินเปิดกล่องโต้ตอบคุณสมบัติของใบรับรองที่เกี่ยวข้อง เปลี่ยนตัวเลือกเปิดใช้งานวัตถุประสงค์ทั้งหมดสำหรับใบรับรองนี้เป็นตัวเลือกเปิดใช้งานเฉพาะวัตถุประสงค์ต่อไปนี้เลือกรายการทั้งหมดแล้วคลิกนำไปใช้
- เปิดตัวจัดการ ISA และทำการติดตั้ง SSL ให้เสร็จสมบูรณ์:
- คลิกขวาที่เซิร์ฟเวอร์ที่ยอมรับการเชื่อมต่อที่เข้ามาและคลิกคุณสมบัติ
- คลิกการร้องขอเว็บขาเข้าแท็บ
- คลิกรายการที่อยู่ Internet Protocol (IP) สำหรับไซต์ที่คุณกำลังจะโฮสต์หรือรายการ "ที่อยู่ IP ทั้งหมด" หากคุณไม่ได้ตั้งค่าที่อยู่ IP แต่ละรายการ
- คลิกแก้ไข
- คลิกเพื่อเลือกนั้นใช้ใบรับรองเซิร์ฟเวอร์ในการรับรองความถูกต้องกับผู้ใช้เว็บกล่องกาเครื่องหมาย
- คลิกเลือก
- เลือกใบรับรองที่คุณนำเข้าก่อนหน้านี้
- คลิก OK
- คลิกเพื่อเลือกกล่องกาเครื่องหมาย Enable SSL listeners
- ขยายโฟลเดอร์ 'การเผยแพร่' และคลิกที่กฎการเผยแพร่เว็บ
- คลิกสองครั้งที่กฎการเผยแพร่เว็บที่จะกำหนดเส้นทางการรับส่งข้อมูล SSL
- บนแท็บการเชื่อมโยงเลือกตัวเลือกในการเปลี่ยนเส้นทางคำขอ SSL เป็น 'คำขอ HTTP (ยุติช่องทางที่ปลอดภัยที่พร็อกซี) คลิกตกลง
- รีสตาร์ทเซิร์ฟเวอร์ ISA
โปรดดู: http://support.microsoft.com/default.aspx?scid=kb;US;292569