Phần 1: Nhiều website cùng domain name - Publish Multiple SSL Website Với ISA Server 2006

I. Giới thiệu

Doanh nghiệp đã có website trên web server đặt tại công ty mình, và có nhu cầu publish website này ra Internet có mã hóa trên đường truyền, đồng thời để tăng cường độ tin cậy của khách hàng với doanh nghiệp khi truy cập website của mình, doanh nghiệp phải mua SSL certificate tại các nhà cung cấp chuyên bán certificate như Verisign, Rapidssl,...
Điểm lưu ý ở đây khi mua SSL certificate là mỗi website có tên trang web khác nhau thì khi mua SSL certificate phải được đăng ký ở mục common name với tên tương ứng của trang web.

Ví dụ: Nhất Nghệ có 3 website www.nhatnghe.com, forum.nhatnghe.com, mail.nhatnghe.com và khi Nhất Nghệ mua SSL certificate thì phải mua 3 SSL certificate khác nhau với 3 tên tương ứng đó.
Vậy trường hợp Nhất Nghệ có nhiều website hơn nữa với cùng domain name nhatnghe.com thì phải mua nhiều SSL certificate hơn nữa. Các nhà cung cấp đưa ra khái niệm wildcard certificate. Nhất Nghệ chỉ mua SSL wildcard certificate (*.nhatnghe.com) thì có thể dùng chung cho các tất cả website cùng domain name.

Trong bài lab này Nhất Nghệ có 2 website www.nhatnghe.com và forum.nhatnghe.com và có nhu cầu publish secure 2 website này ra Internet. Web server là vừa là DC vừa là Enterprise Root CA. Ngữ cảnh bài này thay vì mua SSL wildcard certificate từ nhà cung cấp, Nhất Nghệ sử dụng SSL wildcard certificate từ Root CA cục bộ cấp phát

II. Các bước thực hiện

A - Máy Web server

1. Kiểm tra địa chỉ IP
2. Tạo website www.nhatnghe.com
3. Tạo website forum.nhatnghe.com
4. Xin SSL wildcard certificate
5. Export SSL wildcard certificate
6. Remove SSL wildcard certificate
7. Xin SSL certificate cho website www.nhatnghe.com
8. Xin SSL certificate cho website forum.nhatnghe.com

B - Máy ISA server

1. Kiểm tra địa chỉ IP
2. Import SSL wildcard certificate
3. Kiểm tra tính hợp lệ SSL wildcard certificate
4. Khắc phục lỗi khi SSL wildcard certificate không hợp lệ
5. Tạo web listener
6. Publish secure website www.nhatnghe.com
7. Publish secure website forum.nhatnghe.com

C - Máy Client

1. Tạo file host
2. Kiểm tra các website

III. THỰC HIỆN

Đặt địa chỉ IP như hình sau

- Web server nâng cấp DC, cài Enterprise Root CA. Tạo nội dung trang web cho các website
- ISA join domain

A - Máy Web server

1. Kiểm tra địa chỉ IP

- Start > Run gõ cmd > Enter
- Gõ ipconfig /all
 

2. Tạo website www.nhatnghe.com

Mở IIS Manager > Chuột phải Website > New > Website

Chọn Next

Đặt tên mô tả website

Chọn địa chỉ IP 172.16.1.2 và đặt tên host header www.nhatnghe.com

Chỉ đường dẫn lưu trữ website webnhatnghe

Chọn Next

Chọn Finish

3. Tạo website forum.nhatnghe.com

Chuột phải Website > New > Website

Chọn Next

I

Đặt tên mô tả website Forum Nhat Nghe

Chọn địa chỉ IP 172.16.1.3 và đặt tên host header forum.nhatnghe.com

Chỉ đường dẫn lưu trữ website ForumNhatnghe

Chọn Next

Chọn Finish

4. Xin SSL wildcard certificate

Chuột phải website Nhatnghe chọn properties

Chọn tab Directory Security > Server certificate

Chọn Next

Chọn Create a new certificate > Next

Chọn Send the request immediately..... > Next

Chọn Next

Nhập tên công ty

Nhập *.nhatnghe.com > Next

Nhập thông tin ...> Next

Chọn next

Chọn next

Chọn Next

Chọn Finish

5. Export SSL wildcard certificate
Chuột phải website Nhatnghe > Properties

Chọn tab Directory Security > Server certificate

Chọn Next

Chọn Export the current certificate to a .pfx file

Chọn đường dẫn lưu file pfx tại C:

Nhập password bảo vệ file pfx

Chọn Next

Chọn Finish

Chọn OK

6. Remove SSL wildcard certificate
Chuột phải website Nhatnghe > Properties

Chọn tab Directory Security > Server certificate

Chọn Next

Chọn Remove the current certificate > Next

Chọn Next

Chọn Finish

Chọn OK

7. Xin SSL certificate cho website www.nhatnghe.com
Chuột phải website Nhatnghe > Properties

Chọn tab Directory Security > Server certificate

Chọn Next

Chọn Create a new certificate > Next

Chọn Send the request immediately..... > Next

Chọn Next

Nhập tên công ty

Nhập www.nhatnghe.com > Next

Nhập thông tin ...> Next

Chọn next

Chọn next

Chọn Next

Chọn Finish

Chọn OK

8. Xin SSL certificate cho website forum.nhatnghe.com
Chuột phải ForumNhatnghe chọn properties

Chọn tab Directory Security > Server certificate

Chọn Next

Chọn Create a new certificate > Next

Chọn Send the request immediately..... > Next

Chọn Next

Nhập tên công ty

Nhập *.nhatnghe.com > Next

Nhập thông tin ...> Next

Chọn next

Chọn next

Chọn next

Chọn Finish

 

B - Máy ISA server

1. Kiểm tra địa chỉ IP

Tại command line gõ ipconfig /all

2. Import SSL wildcard certificate

Máy ISA server đã logon domain administrator, vào Run nhập như hình

Copy file *.pfx đã được Export từ lúc đầu

Paste vào ổ C của máy ISA server

Run nhập mmc . Chọn menu File > Add/Remove Snap-in

Chọn Add

Chọn Certificate > Add

Chọn Computer account > Next

Chọn Local computer > Finish

Chọn OK

Chuột phải certificate như hình chọn Import

Chọn Next

Chọn File .pfx đã copy về và lưu tại C: > open

Chọn Next

Nhập password trước đây đã nhập nhằm bảo vệ file này > Next

Chọn Next

Chọn Finish

Chọn OK

3. Kiểm tra tính hợp lệ SSL wildcard certificate
Sau khi import certificate thành công , double click SSL wildcard certificate

Nếu certicate đưa ra giống hình dưới nghĩa là certificate không hợp lệ
Đơn vị cấp phát certificate là RootCA ở đây không nằm trong danh sách các đơn vị cấp phát certificate tin cậy (Trusted Root Certification Authority)

4. Khắc phục lỗi khi SSL wildcard certificate không hợp lệ

- Nếu SSL wildcard certificate đã hợp lệ thì không cần làm bước này
- Đảm bảo ISA đã có rule Allow HTTP/HTTPS From Local Host to Internal
- Mở Internet Explorer nhập http://172.16.1.2/certsrv > Chọn Download a CA certificate ....

Chọn Download CA certificate

Chọn Save

Chỉ đường dẫn lưu tại desktop > Save

Chọn Close

Chuột phải như hình chọn Import

Chọn Next

Chọn Browse chỉ đến file certnew.cert ngoài desktop

Chọn Next

Chọn Finish

Chọn OK

Double click lại SSL wildcard certificate

Certificate bây giờ đã hợp lệ

5. Tạo web listener
Chuột phải web listener chọn New Web Listener

Đặt tên cho Web listener Listen 443 > Chọn Next

Chọn như hình Next

Chọn External > Next

Chọn Use a single certificate ... > Chọn Select certificate

Chọn certificate *.nhatnghe.com . Chọn Select

Chọn Next

Chọn như hình > Next

Chọn Next

Chọn Finish

6. Publish secure website www.nhatnghe.com
Chuột phải Firewall Policy > New > Web Site Publising Rule

Đặt tên cho Rule

Chọn Allow > Next

Chọn Publish a single Web site or load balancer >Next

Chọn Use SSL to connec to the published ........ > Next

Nhập như hình > Next

Chọn Next

Nhập pulic name như hình > Next

Chọn Web listener > Next

Chọn như hình > Next

Chọn Next

Chọn Finish

7. Publish secure website forum.nhatnghe.com
Chuột phải Firewall Policy > New > Web Site Publising Rule

Đặt tên cho Rule

Chọn Allow > Next

Chọn Publish a single Web site or load balancer >Next

Chọn Use SSL to connec to the published ........ > Next

Nhập như hình > Next

Chọn Next

Nhập pulic name như hình > Next

Chọn Web listener > Next

Chọn Next

Chọn Next

Chọn Finish

Chọn Apply

C - Máy Client

1. Tạo file hosts

Mở file hosts tại đường dẫn C:\Windows\System32\drivers\etc nhập thêm nội dung sau và save lại

2. Kiểm tra các website

Mở Internet Explorer truy cập https://www.nhatnghe.com, nhận được thông báo chọn View Certificate

Certificate không hợp lệ do Root Ca không nằm trong danh sách Trusted Root Certification Authority > Chọn OK > Chọn Yes

Nội dung của website Nhất Nghệ

Truy cập https://forum.nhatnghe.com cũng gặp thông báo, chọn View certificate

Vẫn là 1 SSL wildcard certificate > OK >Yes

Nội dung của website forum Nhất Nghệ

Kết luận: Chỉ cần có 1 SSL wildcard certificate thì có thể publish được nhiều website cùng domain.

suthuc - MCT