Прийшов час написати ще одну статтю про інше непоганому методі захисту OWA-сайту і віртуальних каталогів за допомогою SSL. Я розповім вам, як можна використовувати безкоштовний SSL-сертифікат від стороннього виробника. Ні, я не кажу про жадібних виробниках 30-денних пробних сертифікатів на кшталт VeriSign і інших. Не дуже здорово використовувати 30-денні безкоштовні версії сертифікатів, знаючи, що потім доведеться платити від п'ятдесяти до декількох сотень доларів в рік, зовсім не здорово.
Хто ж пропонує безкоштовні SSL-сертифікати? Хочете вірте, хочете ні, але це ізраїльська компанія Startcom Ltd .. відома своєю версією Linux (Startcom Linux). Ця компанія впевнена, що права на SSL-сертифікат не повинні залежати від фінансових можливостей індивідуума і / або організації. Не можу з ними не погодитися.
В даній час сертифікату від Starcom не довіряють такі браузери як Internet Explorer, FireFox, Mozilla та ін. Але зараз такі виробники як Microsoft і Mozilla проводять аудит Starcom, тому можна сподіватися, що в найближчому майбутньому ці браузери будуть довіряти цьому сертифікату за замовчуванням . Чи означає це, що я збираюся навчати користувачів встановлювати сертифікат вручну (або з використанням методу, описаного в бюлетені Microsoft 297681 - Поява повідомлення про помилку «Сертифікат виданий організацією, яка не входить до складу довірених». Для того щоб не бачити попередження про безпеку, показане на малюнку 1. Ні, не означає.
Підготовка OWA-сервера.
Спочатку на сервері Exchange запустіть консоль управління IIS-сервера, розкрийте вузол Local Computer> Web Sites (Локальний комп'ютер> Web-сайти) і виберіть Properties (Властивості) в запису Default Web Site (Web-сайт за замовчуванням). Тепер виберіть закладку Directory Security (Безпека). і ви побачите вікно, показане на малюнку 2.
Зауваження.
Якщо у вашій мережі використовується конфігурація з зовнішнім / внутрішнім сервером, слід вирішувати SSL тільки на зовнішньому сервері (серверах). Іншими словами, в такій ситуації всі описані нижче процедури слід проводити тільки на зовнішньому сервері (серверах).
Тепер натисніть кнопку Server Certificate (Сертифікат сервера). виберіть Create a new certificate (Створити новий сертифікат). а потім натисніть Next (Далі). як показано на малюнку
Виберіть Prepare the request now, but send it later (підготувати запит зараз, але відіслати його пізніше). потім натисніть Next (Далі)
Введіть опис для сертифіката (наприклад, OWA SSL Certificate), потім натисніть Next (Далі)
Тепер введіть назву організації в полі Organization name (Назва організації) і організаційну одиницю в поле Organizational unit (Організаційна одиниця). потім натисніть Next (Далі).
Зауваження.
Після введення простого імені в поле Common Name (Просте ім'я) натисніть Next (Далі).
Введіть Регіон / Країну. Штат / Область і Місто / Населений пункт і натисніть Next (Далі).
Вкажіть місце розташування і ім'я файлу, в якому ви хочете зберегти інформацію про сертифікат, а потім натисніть Next (Далі) (цю інформацію потім потрібно буде скопіювати в форму на сайті Startcom).
Натисніть Next (Далі). потім Finish (Завершити).
Запит сертифіката у Startcom.
Настав час отримати сертифікат від Startcom. Перше, що слід зробити, це відкрити файл certreg.txt і скопіювати його вміст в буфер обміну, потім клацніть по цьому посиланню, щоб запустити Майстер сертифікатів. Виберіть Class 1 Certificate (Сертифікат 1 класу) і натисніть Continue (Продовжити). Оскільки ми збираємося використовувати сертифікат на web-сервері IIS, виберіть опцію Server Certificate (Without CSR generation) (Сертифікат сервера (без генерації запиту підпису сертифіката)). потім натисніть Continue (Продовжити). Тепер заповніть форму персональної інформації та натисніть Continue (Продовжити).
Запуск відкладеного запиту.
Повертаємося на OWA-сервер, відкриваємо консоль управління IIS-сервера (якщо ви її закрили), потім розкриваємо і клацаємо правою кнопкою на Default Web Site (Web-сайт за замовчуванням). Виберіть закладку Directory Security (Безпека). потім натисніть Server Certificate (Сертифікат сервера)> Next (Далі). виберіть пункт Process the pending request and install the certificate (Запустити відкладений запит і встановити сертифікат) і натисніть Next (Далі)
Введіть шлях до файлу SSL.CRT. який містить сертифікат (шлях повинен бути C: \ ssl.crt. якщо тільки ви не вказали інший), потім натисніть Next (Далі)> прийміть установки SSL порту за замовчуванням (SSL port (443)) і натисніть Next (Далі) (цікаво, скільки разів ми вже натиснули Next і Continue?). Тепер підтвердіть зведений сертифікат, натисніть Next (Далі). потім Finish (Завершити).
Перш ніж дозволити SSL-сертифікат на web-сайті за замовчуванням, слід зробити ще одну процедуру, але тільки в тому випадку, якщо ви не запускали майстер сертифіката Startcom на сервері OWA, і тому встановили сертифікати центру сертифікації і проміжного центру в сховище Trusted Root Certification Authorities (Довірені кореневі центри сертифікації).
Відкрийте порожню консоль MMC на OWA-сервері: натисніть Start (Пуск)> Run (Виконати). введіть MMC і натисніть Enter. Потім в меню виберіть File (Консоль)> Add / Remove Snap-in (Додати / видалити оснащення). натисніть Add (Додати) і виберіть Certificates (сертифікати)
Тепер розкрийте Trusted Root Certification Authorities (Довірені кореневі центри сертифікації)> Certificates (Сертифікати) і клацніть лівою кнопкою по контейнеру Certificates (Сертифікати). Виберіть All tasks (Усі завдання)> Import (Імпорт)
З'явиться вікно майстра сертифікатів. Натисніть Next (Далі). потім вкажіть шлях до файлу CA.СER (Малюнок 14) і знову натисніть Next (Далі).
Підтвердіть зберігання сертифіката в Trusted Root Certification Authorities (Довірені кореневі центри сертифікації) (Малюнок 15). натисніть Next (Далі). потім Finish (Завершити)> OK.
Тепер виконайте те ж саме для сертифіката sub.class1.server.ca.cer. і для сертифіката власного сервера OWA (SSL-CRT). Всі сертифікати додані в сховище, як показано на малюнках
Дозвіл SSL на web-сайті за замовчуванням.
Для вирішення SSL на web-сайті за замовчуванням відкрийте консоль управління IIS і виберіть Properties (Властивості) в запису Default Web Site (Web-сайт за замовчуванням). Тепер виберіть закладку Directory Security (Безпека) і в розділі Secure Communications (Безпечні з'єднання) натисніть кнопку Edit (Змінити) (Малюнок 19).
Зауваження.
Залежно від вашого сервера Exchange (один сервер або конфігурація із зовнішнім / внутрішнім сервером), так само як і від існування не відносяться до Exchange-сервера віртуальних каталогів на web-сайті за замовчуванням, можна дозволити SSL на віртуальних каталогах Exchange і Public. а не на всьому сайті. Також врахуйте, що дозвіл SSL на web-сайті за замовчуванням може привести до проблем з OMA (Outlook Mobile Access - мобільний доступ до Outlook) і ActiveSync.
Відзначте опції Require secure channel (SSL) (Вимагати безпечний канал (SSL)) і Require 128-bit encryption (Вимагати 128-бітове шифрування) (Малюнок 20). оскільки більшість сучасних web-браузерів підтримують 128-бітове шифрування.
Двічі натисніть Ok і закрийте консоль управлінні IIS. Тепер ми розглянемо клієнтську сторону для того, щоб переконатися, що SSL-з'єднання з OWA-сайтом працює правильно.
Працюємо з боку клієнта.
Зауваження.
Навіщо дозволяти стороннім виробникам начебто багатомільйонних компаній VeriSign, RapidSSL, InstantSSL, Entrust і ін. Брати кілька сотень доларів в рік за надання простого сертифіката? І ще - хіба це чесно, називати 30-денний сертифікат безкоштовним? Не думаю.
Настав час змінити ринок і підтримати такі компанії як Startcom, щоб дійсно безкоштовні сертифікати підтримувалися такими браузерами, як Internet Explorer, FireFox, Mozilla, Opera і ін.
Статті на цю тему.
Якщо ви пропустили першу частину цієї серії, будь ласка, прочитайте її по посиланню Використання інструменту Exchange Server Remote Connectivity Analyzer Tool (Частина. [+]