在此（二）部分，主要分为三大部分，一是建立ISA主机与内部WEB服务器HTTP连接；二是建立ISA主机与WEB客户端之间的SSL连接（https）包含建立SSLWEB侦听器（这要用到第（一）篇的知识啦）；三是验证发布是否生效、成功。

一、在ISA本地主机上新建发布规则（建立ISA主机与内部WEB服务器HTTP连接）
要点：A、新建的发布规则，仍是按照"网站发布规则"的步骤来建立的，这并没有什么新的东西。
      B、 在ISA 2006版本中，发布的内部站点，需以内部域名的方式显示出来，并不能只在同一页面的下方填写IP地址或是计算机名字。为了更好的让外部访问 ssl.rickyfang.net的流量经由ISA转发至内部的被发布的WEB站长点，故此，我在ISA本地主机上新建一个HOST记 录:notepad c:\WINDOWS\system32\drivers\etc\hosts 填入192.168.1.28    ssl.rickyfang.net。

1、打开ISA 2006本地主机，ISA管理控制台窗口，找到计算机名，展开，右键点“防火墙规则”，新建“网站发布规则”。

2、在弹出的窗口“新建WEB发布规则向导”，WEB发布规则名称下框中输入名称：pub ssl-to-http。（名称可以自定义）


3、下一步，在“发布类型”窗口中，选择“发布单个网站或负载平衡器”。


4、下一步，在“服务器连接安全”窗口中，选择“使用不安全的连接连接发布的WEB服务器或服务器场”。
       这 一步要说明：既然要使用SSL连接，为何在此步骤中不选择第一项呢？因此，提示各位可以仔细看下这个选择下面的说明—这步骤是要建立ISA主机与要发布的 内部WEB服务器的之间的连接。而不是INTERNET上的WEB客户端与ISA主机之间的连接。当然要使用HTTP连接啦，请大家结合这次实验目的来理 解这一步。       


5、 下一步，在“内部发布详细”窗口中，在内部站点名称后填上“ssl.rickyfang.net”（如果内部有DNS，并有A记录指向内部WEB站点。这 里可以改变的），并勾选“使用计算机名称或IP连接到发布的服务器”。并填入内部的WEB服务器IP地址为192.168.1.28。（当然也可以不填 写，还记得之前的HOSTS文件添加的A记录吗？在这里用上啦）


6、下一步，在“内部发布详细信息”窗口，在“路径(可选)”框里，输入/*。

7、下一步，在“公共名称细节”窗口中，在“接受请求”后，选择“在此域名（在以下输入）”，并在“公用名称”后框中输入:ssl.rickyfang.net,(注意，这此输入的是需要INTERNET*问的网站域名，一定要搞清楚和之前发布时输入的域名用处之别)

。在“路径（可选）”后面输入"/*"。


二、建立ISA主机与WEB客户端之间的SSL连接（https）
8、下一步，弹出“选择WEB侦听器”窗口，此时并没有可以选择的侦听器，而且也不能选择。（接下来的操作也是重点，是实现SSL必不可少的步骤），在此点“新建”。在出现的新窗口中，输入侦听器名称：ssl-to-http。

9、 下一步，出现“客户端连接安全设置”窗口，选择“需要与客户端建立SSL安全连接”。（哈哈，我太喜欢ISA 2006了，太为我们着想啦，这不，刚才还在抱怨怎么实现SSL连接的朋友，这下就明白了，此处建立的是INTERNET上的WEB客户端与ISA主机建 立SSL连接的选项。也就是通过在IE浏览器里输入https://后的加密访问）。



接下来的操作就要用到在第（一）篇BLOG文中建的CA相关的知识点啦，之前也提到，如果你在一些数字证书颁发机构申请了证书。就可以免去很多麻烦，也就没有上篇BLOG文的出台啦，不过那是要缴费的。而且至于如何做，他们也会指导去做的。

10、下一步，在“WEB侦听器IP地址”窗口中，选择“外部”以使ISA主机侦听来自于INTERNET上的传入WEB请求。

11、下一步，出现“侦听器SSL证书”窗口，选择“对此WEB侦听器使用单一证书”，并点击“选择证书”。在出现的窗口中，选择

在之前建立的证书（第一篇中建立的），呵呵，这里，有两个，其中一个是我第一次成功时的。第二个是为了写这篇文章又建立一个的。这次，咱们选择第二个（之前的证书申请ID为3）。并点“选择”。


12、下一步，在“身份验证”窗口，选择"没有身份验证"。下一步，下一步，二次下一步后，出现如下的窗口，便完成了WEB侦听器的建立。


13、下一步，在出现的“身份验证委派”页面。点下一步。在出现的“用户集”页面，选择“所有用户”。然后点完成。完成所有的动作。

三、验证发布的WEB访问

在任一台能上网的机器上，在IE浏览器里输入https://ssl.rickyfang.net。会出现如下的窗口


在 上述窗口中，我点了查看证书，可以看到一些提示说是此证书并不是受信任的证书颁发机构颁发的。那是当然的，如果你真正的了解证书相关知识，就知道为何了。 当然，如果你选择了受信任机构颁发的，就不会出现这样的问题啦（IE浏览器默认就会不弹出此界面啦。详情见相关知识）。

点“是”后，就能正常访问啦。如下图：



从此，这篇文章就算成功的实现了SSL的发布及访问。下面有几点和各位提一下：

A、由于我这是仅限于公司内部访问，尽管也在公网上提供了服务，但仍采用了微软内置的CA。如果各位真不想这样子麻烦就去一些数字证书机构去花钱申请。这样子就不会出点"是"的提示窗口了。

B、如果你想使用微软内置的CA，但又不想出现提示的窗口，那就把证书下载下来，通过MMC导入此证书。就可以啦。

C、 如何验证WEB客户端到ISA主机的SSL，以及ISA主机到内部的WEB服务器的HTTP访问。可以使用netstat -an | find "80" /netstat -an |find "443"就可以验证了。如果，你会使用SNIFFER抓包工具，就更能清楚啦。

 本文转自 rickyfang 51CTO博客，原文链接：http://blog.51cto.com/rickyfang/125815，如需转载请自行联系原作者