如何在 ISA 防火墙后发布安全的 SVN 服务器 (Apache+SSL)

如何在 ISA 防火墙后发布安全的 SVN 服务器 (Apache+SSL)

我刚刚在 Windows 2008 系统中配置了一个内部 SVN 服务器,使用如下配置:
SVN 1.6.2
Apache 2.2.11
mod_ssl 2.2.11
OpenSSL 0.9.8j
DAV 2
mod_auth_sspi 1.0.4

域证书由内部 CA(Win 2003 框)创建,导入 IIS(只是因为这是请求证书最简单的方法),导出为 pfx 文件,然后分解为 Apache + OpenSSL 使用的 crt 和密钥文件。

现在我想将我的服务器公开到 Internet。为此,我必须在我们的 ISA 服务器中发布 Apache Web 服务器。我在确定 ISA 服务器中的正确安全配置时遇到了困难。是否有方法可以在 ISA 服务器中发布安全的 Apache Web 服务器(无论它是否充当 SVN 的前端)?

答案1

可以使用常规的“发布网站”向导来完成。如果外部网站https://mysvn.com那么 ISA 需要安装证书https://mysvn.com;这是配置好的监听器。(为了方便使用,我为 https://*.mycompany.com 准备了一个通配符证书,以及一个名为“通用 https 监听器”的监听器,因此我不需要为每个站点单独设置一个监听器)

如果外部客户端使用 https 联系 ISA,那么最好是 ISA 使用 https(和相同的域名)联系 Web 服务器 - 这样可以消除 Web 服务器返回内部链接时出现的问题(http://内部名称.local) 将其返回到客户端,而不是由 ISA 重写。Web 服务器上的 SSL 证书应该受到 ISA 服务器的信任,因为它来自信任根服务器(即:适当的付费证书)或者您已经设置了自己的证书颁发系统。

身份验证委派应设置为“无委派,但客户端可以直接进行身份验证”,否则 ISA 将尝试接管用户身份验证。

相关内容