我刚刚使用以下命令在Windows 2008中configuration了一个内部SVN服务器:
SVN 1.6.2
Apache 2.2.11
mod_ssl 2.2.11
OpenSSL 0.9.8j
DAV 2
mod_auth_sspi 1.0.4
域证书由一个内部CA(一个Win 2003框)创build,导入到IIS中(仅仅是因为它是请求证书最简单的方式),导出为一个pfx文件,随后分解成使用的crt和密钥文件通过Apache + OpenSSL。
现在我想将我的服务器暴露给Internet。 为此,我必须在我们的ISA Server中发布Apache Web服务器。 我很难确定ISA服务器中正确的安全configuration。 在ISA服务器中是否有发布一个安全的Apache Web服务器的path(不pipe它是否充当SVN的前端)?
这可以通过常规的“发布网站”向导来完成。 如果外部网站是https://mysvn.com,则ISA需要为https://mysvn.com安装证书; 这是configuration的监听器。 (为了便于使用,我为https://*.mycompany.com提供了一个通配符证书,而一个名为“generic https listener”的lisetener,所以我不需要为每个站点分别设置一个监听器)
如果外部客户使用https联系ISA,那么最好是ISA使用https(和相同的域名)联系web服务器 – 这样可以消除Web服务器返回内部链接( http://内部名.local )这使得它回到客户端,而不是由ISA重写。 Web服务器上的SSL证书应该由ISA服务器信任,要么是因为它来自信任根服务器(即:正确的付费证书),要么已经build立了自己的证书颁发系统。
身份validation委派应设置为“无委派,但客户端可以直接validation”否则ISA将尝试接pipe用户validation。