Назад | Перейти на главную страницу

Как опубликовать безопасный сервер SVN (Apache + SSL) за брандмауэром ISA

Я только что настроил внутренний сервер SVN в Windows 2008, используя:
SVN 1.6.2
Apache 2.2.11
mod_ssl 2.2.11
OpenSSL 0.9.8j
DAV 2
mod_auth_sspi 1.0.4

Сертификат домена был создан внутренним центром сертификации (поле Win 2003), импортирован в IIS (только потому, что это был самый простой способ запросить сертификат), экспортирован как файл pfx, а затем разбит на используемые файлы crt и key. от Apache + OpenSSL.

Теперь я хочу открыть свой сервер в Интернете. Для этого мне нужно опубликовать веб-сервер Apache на нашем ISA-сервере. Мне сложно установить правильные конфигурации безопасности на ISA-сервере. Есть ли способ публикации защищенного веб-сервера Apache (независимо от того, что он действует как интерфейс для SVN) на сервере ISA?

Это можно сделать с помощью обычного мастера «Публикация веб-сайтов». Если внешний сайт https://mysvn.com тогда ISA потребуется установить сертификат для https://mysvn.com; это настроен слушатель. (Для простоты использования у меня есть подстановочный сертификат для https: //*.mycompany.com и прослушиватель под названием «общий прослушиватель https», поэтому мне не нужен отдельный прослушиватель для каждого сайта)

Если внешние клиенты используют https для связи с ISA, тогда лучше, если ISA использует https (и то же доменное имя) для связи с веб-сервером - это устраняет проблемы, когда веб-сервер возвращает внутреннюю ссылку (http: //internalname.local), который возвращается клиенту, а не переписывается ISA. Сертификат SSL на веб-сервере должен быть доверенным для ISA-сервера, либо потому, что он получен от доверенного корневого сервера (то есть: надлежащий оплаченный сертификат), либо вы настроили свою собственную систему выдачи сертификатов.

Делегирование аутентификации должно быть установлено на «без делегирования, но клиент может аутентифицироваться напрямую», иначе ISA попытается взять на себя аутентификацию пользователя.