|
 |
现在的服务器一般很少不受保护直接连接到网络上,通常会加装防火墙以保证服务器的安全。在防火墙环境下安装和调试证书往往会比较复杂,本文针对标准的防火墙解决方案(DMZ)下SSL服务器证书的安装和调试,作出一个解释。
| 硬件防火墙: | 指安装在服务器和路由器之间的硬件设备,常见如Cisco PIX,Netscreen,Nokia等。硬件防火墙主要通过虚拟地址映射,状态检测过滤技术等来实现对服务器的保护。 |
| 软件防火墙: | 指安装在服务器上的安全软件,主要通过设定对服务器端口的访问控制来保护服务器不受到非法的攻击。 |
| DMZ: | DMZ是英文“demilitarized zone”的缩写,中文为“隔离区”,也称“非军事化区”,该区域可被外网及内网访问,但是不能访问内网,有时也被设定为不能访问外网,以避免其中的服务器被黑客攻击后,借以攻击内网和其他外网。 |
| 内网: | 内网是连接部门内部使用的计算机。该网段内计算机对外不公开,但一般可以通过授权访问外网和DMZ |
| 外网: | 不受防火墙的保护,完全开放,一般都是指Internet或连向Internet的路由网关等设备。 |
以上网站在Internet上的访问地址为: www.abc.com ,其IP地址为:202.96.0.1,而该地址实际上是被设定在防火墙上的,而真正的WWW服务器的IP地址为:10.0.0.1,在DMZ区内,通过设定地址映射(或者叫虚拟主机),将访问202.96.0.1的80端口的请求,转向10.0.0.1的80端口,使得WWW服务器可以向外网提供Web服务。
请在服务器上安装SSL证书,具体方法请右边的列表。
在防火墙上增加一个新的443端口的地址映射。
|
地址映射
|
服务器IP
|
服务器端口
|
防火墙IP
|
防火墙端口
|
| 原来的WEB服务 |
202.96.0.1 |
80 |
10.0.0.1 |
80 |
| 新增的SSL服务 |
202.96.0.1 |
443 |
10.0.0.1 |
443 |
经常会发现 一般情况下,这2步就可以使你的服务器向外提供SSL服务,但是由于防火墙使网络环境变得十分复杂,还是无法在外网访问到SSL端口,这个时候,你就需要按下面的三步方法来进行调试。
检查本地服务器上是否能访问到SSL服务。
请登录到服务器上,在浏览器上输入https://www.abc.com,来检查服务器上的证书是否安装好。要特别注意的是,由于真正的DNS已经将www.abc.com解析到202.96.0.1,也就是防火墙上的那个IP,如果直接访问www.abc.com就会先去访问防火墙,这样即使访问不成功,我们也无法知道故障点的位置。所以我们必须先在服务器的HOSTS文件上增加一条记录:
www.abc.com 127.0.0.1
这样,服务器在访问www.abc.com的时候,就直接访问本地IP。
如果访问成功,请继续到下一步,如果访问失败,则表示SSL证书没有被正确地安装在服务器上,请重新检查服务器。
检查局域网内是否能访问到SSL服务
在DMZ区内找一台电脑,这台电脑和服务器在同一网段内,假设它地IP为:10.0.0.2,在这台电脑的浏览器上输入https://www.ab.com,检查在局域网环境下是否能访问服务器的SSL(443)端口,这主要是为了检查服务器上是否安装了软件防火墙,该防火墙是否将服务器的SSL(443)端口关闭掉了。
同样我们也需要在这台电脑修改HOSTS文件,增加一条:
www.abc.com 127.0.0.1
如果访问成功,请继续下一步,如果访问失败,请检查服务器上的是否安装了软件防火墙,或者启用了网卡上的IP地址过滤功能,在局域网内能够成功访问服务器的SSL端口后再继续下一步
在外网访问防火墙地址
在外网,或是从Internet上访问https://www.abc.com,这个时候我们知道服务器在其本机和局域网内都已经能正常被访问SSL端口,如果仍然有什么问题,肯定是防火墙上的设置造成的,我们只需要检查防火墙就可以。
|
|
|
|
