Sunday, November 18th, 2018

Использование коммерческого сертификата web-сайта для публикации Outlook Web Access (OWA) Часть 2

Published on Февраль 13, 2009 by   ·   Комментариев нет

Во второй части статьи мы рассмотрим следующие процедуры: Создание запроса на сертификат web-сайта на OWA-сервере, Получение сертификата web-сайта от коммерческого центра сертификации, Установка коммерческого сертификата web-сайта и сертификатов центра сертификации на OWA-сайт.

Если вы пропустили первую часть статьи, прочтите ее: Использование коммерческого сертификата web-сайта для публикации Outlook Web Access (OWA) Часть 1

В первой части статьи об использовании коммерческого сертификата web-сайта для публикации корпоративного OWA-сайта я рассказал об основах SSL-сопряжения и о том, что ISA-сервер дает решениям удаленного доступа к OWA гораздо больший уровень безопасности, чем обычные аппаратные брандмауэры. После широкого освещения преимуществ безопасности ISA-сервера мы рассмотрели причины, по которым использование коммерческих сертификатов web-сайтов более желательно, чем сертификатов, созданных частным образом. Мы закончили статью дорожной картой для создания решения по использованию коммерческих сертификатов web-сайтов.

Во второй части статьи мы обсудим следующие процедуры:

  • Создание запроса на сертификат web-сайта на OWA-сервере. Для получения сертификата от коммерческого центра сертификации нам нужно создать файл запроса на сертификат. Здесь мы создадим файл запроса на сертификат, который мы отправим в коммерческий центр сертификации.
  • Получение сертификата web-сайта от коммерческого центра сертификации. После создания текстового файла запроса на сертификат, вы отправляете его в коммерческий центр сертификации. Коммерческий центр сертификации использует информацию в данном файле для создания сертификата web-сайта, который вы привяжете к web-приемнику ISA-сервера так, чтобы ISA-сервер мог имитировать OWA-сайт.
  • Установка коммерческого сертификата web-сайта и сертификатов центра сертификации на OWA-сайт Коммерческий центр сертификации высылает вам либо файл сертификата, либо текст. Мы используем текст или файл для установки коммерческого сертификата web-сайта на OWA-сайт корпоративной сети. Далее мы экспортируем этот сертификат в файл, чтобы затем скопировать его на ISA-сервер и установить коммерческий сертификат web-сайта в хранилище сертификатов компьютера ISA-сервера.

Начнем!

Создание запроса на сертификат web-сайта на OWA-сервере

Как я уже говорил в первой части, мы будем использовать дорожную карту, чтобы знать, в каком месте процесс мы находимся. В больших статьях, которые описывают сложные процедуры настройки, очень легко запутаться. Поэтому в своих статьях, которые описывают большое количество процедур на нескольких компьютерах, я буду использовать дорожную карту настройки.

Сообщите мне, пожалуйста, что вы думаете об этом, и ваши мысли о том, как сделать все более удобным. Воспользуйтесь ссылкой на обсуждение данной статьи.

Сейчас вы находитесь здесь:

Certreq txt расшифровать

Рисунок 1: Сейчас вы находитесь здесь

Первый шаг – создание запроса на сертификат web-сайта. Мы создаем текстовый файл, который отсылаем в коммерческий центр сертификации. Данный файл содержит всю информации, требуемую коммерческим центром сертификации для выдачи сертификата web-сайта.

Создадим файл запроса на сертификат на Exchange-сервере с помощью мастера IIS для создания запроса на сертификат. Есть и другие способы сделать это, но я считаю, что данный является самым простым, самым легким и наименее подверженным ошибкам. Имя сертификата будет mail.msfirewall.org, поскольку это имя будут использовать внешние пользователи OWA-сайта для доступа к OWA-сайту через ISA-сервер.

Создание файла запроса на сертификат web-сайта

Для создания файла запроса на сертификат выполните следующие действия на вашем Exchange-сервере:

  1. Нажмите Start (Пуск), затем Administrative Tools (Администрирование). Выберите пункт Internet Information Services (Службы IIS).
  2. В консоли Internet Information Services (Службы IIS) раскройте имя сервера, далее узел Web Sites (Web-сайты). Правой кнопкой щелкните по пункту Default Web Site (Web-сайт по умолчанию) и выберите Properties (Свойства).
  3. В окне Default Web Site Properties (Свойства web-сайта по умолчанию) выберите вкладку Directory Security (Безопасность).
  4. На вкладке Directory Security (Безопасность) в разделе Secure communications (Безопасные соединения) нажмите кнопку Server Certificate (Сертификат сервера).
  5. В окне Welcome to the Web Server Certificate Wizard (Начало работы мастера сертификатов web-сервера) нажмите Next (Далее).
  6. На странице Server Certificate (Сертификат сервера) выберите пункт Create a new certificate (Создание нового сертификата) и нажмите Next (Далее).

    Сертификация коммерческого по

    Рисунок 2

  7. На странице Delayed or Immediate Request (Отложенный или срочный запрос) выберите опцию Prepare the request now, but send it later (Подготовить запрос сейчас, но отослать позже). Мы выбрали эту опцию, поскольку мы не будем использовать корпоративный центр сертификации для получения сертификата. Мы создадим текстовый файл запроса на сертификат, который используем для получения сертификата от коммерческого центра сертификации. Нажмите Next (Далее).

    Получение сертификата для owa

    Рисунок 3

  8. На странице Name and Security Settings (Наименование и настройки безопасности) введите имя сертификата в поле Name (Имя). В нашем примере мы назвали сертификат Commercial Web Site Certificate (Коммерческий сертификат web-сайта). Обратите внимание, что это не обычное имя сертификата. Это просто имя для облегчения распознавания данного сертификата в консоли Certificates (Сертификаты). Нажмите Next (Далее).
  9. На странице Organization Information (Информация об организации) введите наименование вашей организации и организационного подразделения и нажмите Next (Далее).
  10. На странице Your Site’s Common Name (Имя сайта) введите обычное имя для сертификата web-сайта. Это очень важная установка, поскольку данное имя должно совпадать с именем, которое внешние пользователи используют для доступа к OWA-сайту через ISA-сервер. В нашем примере для доступа к OWA-сайту пользователи будут использовать имя mail.msfirewall.org, поэтому введите его в поле Common name (Имя). Нажмите Next (Далее).

    Owa сохранить все письма на компьютер

    Рисунок 4

  11. На странице Geographical Information (Географическая информация) введите в текстовые поля ваши Штат/Область и Город/Населенный пункт. Нажмите Next (Далее).
  12. На странице Certificate Request File Name (Имя файла запроса на сертификат) в поле File name (Имя файла) появится имя текстового файла запроса на сертификат. По умолчанию это файл certreq.txt, который расположен в корне диска C:. Примите имя по умолчанию и нажмите Next (Далее).
  13. Просмотрите информацию на странице Request File Summary (Информация о файле запроса) и нажмите Next (Далее).
  14. На странице Completing the Web Server Certificate Wizard (Завершение работы мастера сертификатов web-сервера) нажмите Finish (Завершить).
  15. Вы можете оставить окно Default Web Site Properties (Свойства web-сайта по умолчанию) открытым, поскольку мы вернемся к нему после получения коммерческого сертификата web-сайта от коммерческого центра сертификации.

Получение сертификата web-сайта от коммерческого центра сертификации

Файла запроса

Рисунок 5: Сейчас вы находитесь здесь

Следующий шаг – получение коммерческого сертификата web-сайта от коммерческого центра сертификации. Здесь вы действуете целиком по своему усмотрению, поскольку в каждом коммерческом центре сертификации своя процедура получения сертификата.

Для данной статьи я получил пробный сертификат от компании Verisign. Пробный сертификат работает 14 дней. Если вы желаете получить пробный сертификат от Verisign, чтобы проверить данное решение в тестовых условиях, зайдите на сайт http://www.verisign.com/products-services/security-services/ssl/buy-ssl-certificates/free-trial/

ПРЕДУПРЕЖДЕНИЕ:
Обратите внимание на имя при запросе пробного сертификата. Когда я запрашивал сертификат с именем http://www.msfirewall.org/ для проверок, не связанных с данной статьей, я обнаружил, что не могу создать запрос для данного имени на сайте компании Verisign. Это делает процесс более сложным, чем должно быть.

Процесс получения сертификата прост и не требует усилий. Компания Verisign спросит у вас информацию для идентификации, такую как имя, адрес и телефон. Также компания спросит желаемое имя для сертификата. Помните, что это важная установка, и вы должны указать то же самое имя, которое вы использовали при создании запроса на сертификат в мастере запроса на сертификат.

От вас потребуется скопировать содержимое файла certreq.txt в текстовое поле web-интерфейса компании. По завершению процесса, вам будет выслано письмо, содержащее текстовую строку, которую надо скопировать и сохранить в текстовом файле на OWA-сервере. После всего этого вы готовы приступить к следующей процедуре.

Установка коммерческого сертификата web-сайта и сертификатов центра сертификации на OWA-сайт

Работа owa через сертификаты

Рисунок 6: Сейчас вы находитесь здесь

Теперь у вас есть коммерческий сертификат, и вы готовы установить его на OWA-сайт. Следующие процедуры основаны на полученном мной пробном сертификате от компании Verisign. Некоторые коммерческие центры сертификации вместо текстовой строки предоставят вам файл сертификата. Все процедуры в этом случае будут похожи на те, которые описаны ниже, с небольшой разницей в вариантах выбора. Я думаю, что вы сможете разобраться с ними при работе с мастером. В случае возникновения проблем пишите на доску объявлений сервера ISAserver.org http://forums.isaserver.org/, и я или остальные посетители ISAserver.org смогут вам помочь.

Итак, я скопировал текстовую строку из письма Verisign в файл, который назвал commcer.txt. Этот файл мы будем использовать для установки сертификата.

Установка коммерческого сертификата web-сайта

Для установки коммерческого сертификата web-сайта на компьютер с OWA выполните следующее:

  1. Если вы следовали всем шагам в данной статье, то окно Default Web Site Properties (Свойства web-сайта по умолчанию) у вас открыто. Если вы отошли от наших процедур, откройте в консоли IIS свойства web-сайта по умолчанию. Выберите вкладку Directory Security (Безопасность).
  2. Нажмите кнопку Server Certificate (Сертификат сервера) в разделе Secure communications (Безопасные соединения).
  3. В окне Welcome to the Web Server Certificate Wizard (Начало работы мастера сертификатов web-сервера) нажмите Next (Далее)
  4. На странице Pending Certificate Request (Отложенный запрос сертификата) выберите пункт Process the pending request and install the certificate (Выполнить отложенный запрос и установить сертификат) и нажмите Next (Далее).

    Как запросить тестовый сертификат с Verisign?

    Рисунок 7

  5. На странице Process a Pending Request (Выполнить отложенный запрос) нажмите кнопку Browse (Обзор), укажите сертификат и нажмите Next (Далее).

    Сертификат на публикацию

    Рисунок 8

  6. На странице SSL Port (SSL-порт) примите значение по умолчанию 443 и нажмите Next (Далее).
  7. Просмотрите информацию на странице Certificate Summary (Информация о сертификате) и нажмите Next (Далее).

    Сертификаты для публикации

    Рисунок 9

  8. На странице Completing the Web Server Certificate Wizard (Завершение работы мастера web-сертификатов) нажмите Finish (Завершить).
  9. В окне Default Web Site Properties (Свойства web-сайта по умолчанию) нажмите кнопку View Certificate (Просмотреть сертификат).
  10. На вкладке General (Общие) диалогового окна Certificate (Сертификат) вы увидите надпись Windows does not have enough information to verify this certificate (Windows не обладает достаточной информации для подтверждения данного сертификата). Выберите вкладку Certification Path (Путь к сертификату).
  11. На вкладке Certification Path (Путь к сертификату) вы увидите желтый знак предупреждения рядом с сертификатом VeriSign Trial Secure Server Test CA.

Причина в том, что мы не скачали корневой сертификат тестового центра сертификации и не установили его в хранилище сертификатов на OWA-сервере. Прежде, чем продолжить, нам придется сделать это. Обратите внимание, что если вы используете реальные коммерческие сертификаты, вам не нужно выполнять данные процедуры. Но поскольку мы используем пробный сертификат, корневой центр сертификации которого не включается по умолчанию в хранилище Trusted Root Certificates Authorities (Доверенные корневые центры сертификации) на компьютере, нам придется пройти через это до перехода к следующему шагу.

Я знаю, что немного парадоксальным выглядит тот факт, что нам нужно устанавливать сертификат центра сертификации вручную, тем более, что я упоминал ранее, что главная причина использования коммерческих сертификатов состоит как раз в том, что вам не нужно выполнять эти процедуры. Однако примите во внимание, что в наших тестовых условиях мы используем пробные сертификаты, а когда вы будете пользоваться настоящими, оплаченными сертификатами, вам не нужно будет беспокоиться о данной процедуре.

Если вы используете пробный сертификат от Verisign, как в данном примере, то для размещения сертификата центра сертификации в хранилище сертификатов Trusted Root Certificates Authorities (Доверенные корневые центры сертификации) на компьютере с OWA-сайтом, выполните следующие процедуры.

Установка сертификата пробного корневого центра сертификации в хранилище сертификатов Trusted Root Certificates Authorities (Доверенные корневые центры сертификации) OWA-сервера

Для установки сертификата пробного корневого центра сертификации в хранилище сертификатов Trusted Root Certificates Authorities (Доверенные корневые центры сертификации) OWA-сервера выполните следующее:

  1. На OWA-сервере откройте Internet Explorer и зайдите на сайт http://www.verisign.com/server/trial/faq/index.html
  2. На появившейся странице нажмите ссылку Secure Site Trial Root CA Certificate (Защищенный сертификат пробного корневого центра сертификации).
  3. На странице Root CA Certificates (Сертификаты корневого центра сертификации) скопируйте весь текст в текстовом окне и вставьте его в Блокнот. Сохраните файл с именем Trialcert.txt и закройте Блокнот.Теперь нам нужно импортировать сертификат из текстового файла в хранилище сертификатов Trusted Root Certificates Authorities (Доверенные корневые центры сертификации):
  4. Нажмите Start (Пуск), а затем Run (Выполнить).
  5. В диалоговом окне Run (Выполнить) введите mmc в текстовое окно Open (Открыть) и нажмите OK.
  6. В новой консоли в меню File (Файл) нажмите Add/Remove Snap-in (Добавить/Удалить оснастку).
  7. В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите Add (Добавить).
  8. В диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку) выберите Certificates (Сертификаты) и нажмите Add (Добавить).
  9. На странице Certificates snap-in (Оснастка диспетчера сертификатов) выберите опцию Computer account (Учетная запись компьютера) и нажмите Next (Далее).
  10. На странице Select Computer (Выбор компьютера) выберите опцию Local computer (Локальный компьютер) и нажмите Finish (Завершить).
  11. В диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку) нажмите Close (Закрыть).
  12. В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите OK.

    Теперь оснастка Certificates (Сертификаты) загружена, и мы можем импортировать сертификат.

  13. В консоли MMC раскройте узел Certificates (Local Computer) (Сертификаты (Локальный компьютер)), а затем Trusted Root Certification Authorities (Доверенные корневые центры сертификации). Правой кнопкой щелкните по узлу Certificates (Сертификаты), выберите All Tasks (Все задачи) и нажмите Import (Импорт).
  14. На странице Welcome to the Certificate Import Wizard (Начало работы мастера импорта сертификатов) нажмите Next (Далее).
  15. На странице File to Import (Файл для импорта) нажмите кнопку Browse (Обзор) и укажите место расположения файла сертификата центра сертификации. Нажмите Next (Далее).
  16. На странице Certificate Store (Хранилище сертификатов) нажмите Next (Далее).
  17. На странице Completing the Certificate Import (Завершение импорта сертификата) нажмите Finish (Завершить).
  18. В диалоговом окне, сообщающем, что импорт прошел успешно, нажмите OK.
  19. Вернитесь к узлу Certificates\Personal\Certificates (Сертификаты\Личные\Сертификаты) и дважды щелкните по коммерческому сертификату web-сайта. Откройте вкладку Certification Path (Путь к сертификату). Теперь путь к сертификату в порядке.

    Коммерческий сертификат

    Рисунок 10

  20. Закройте все диалоговые окна и консоль MMC. Настройки консоли не сохраняйте.

Резюме

Во второй части статьи о том, как использовать коммерческий сертификат web-сайта для публикации внутреннего OWA-сайта на ISA-сервере, мы рассмотрели процессы создания запроса на сертификат, отправки запроса в коммерческий центр сертификации и привязки этого сертификата к OWA-сайту корпоративной сети. После всего, что мы сделали, мы готовы перейти к процедурам третьей части статьи, где мы экспортируем сертификат с OWA-сайта и поместим его на ISA-сервер. Это будет очень интересно, так что постарайтесь не пропустить третью часть этой статьи, которая выйдет на следующей неделе!

www.isaserver.org



Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]