Использование коммерческого сертификата web-сайта для публикации Outlook Web Access (OWA) Часть 3

В первой части статьи об использовании коммерческого сертификата web-сайта для публикации корпоративного OWA-сайта я рассказал об основах SSL-сопряжения и о том, что ISA-сервер дает решениям удаленного доступа к OWA гораздо больший уровень безопасности, чем обычные аппаратные брандмауэры. После широкого освещения преимуществ безопасности ISA-сервера мы рассмотрели причины, по которым использование коммерческих сертификатов web-сайтов более желательно, чем сертификатов, созданных частным образом. Мы закончили статью дорожной картой для создания решения по использованию коммерческих сертификатов web-сайтов.

Во второй части мы рассмотрели детали процесса настройки и запросили коммерческий сертификат web-сайта, который мы привяжем к web-приемнику в правиле web-публикации ISA-сервера.

Если вы пропустили первую и вторую части статьи, прочтите их:

• Использование коммерческого сертификата web-сайта для публикации Outlook Web Access (OWA), Часть 1
• Использование коммерческого сертификата web-сайта для публикации Outlook Web Access (OWA), Часть 2

В третьей части статьи об использовании коммерческих сертификатов при публикации OWA-сайтов мы обсудим следующее:

• Экспорт сертификата web-сайта с закрытым ключом и цепью сертификатов в файл и копирование его на ISA-сервер.
  Вам необходимо экспортировать сертификат web-сайта вместе с закрытым ключом и копировать его на ISA-сервер. К тому же в данном варианте настройки с использованием пробного сертификата от компании VeriSign нам нужно будет установить на ISA-сервер и сертификат центра сертификации VeriSign.
• Удаление сертификата web-сайта с OWA-сайта
  После экспорта коммерческого сертификата web-сайта в файл вместе с закрытым ключом нам нужно удалить коммерческий сертификат web-сайта с OWA-сайта для того, чтобы мы смогли запросить закрытый сертификат с другим именем для привязки его к OWA-сайту.
• Запрос на закрытый сертификат web-сайта для OWA-сайта
  Теперь мы можем запросить сертификат с внутреннего центра сертификации. Этот сертификат будет доверенным для всех внутренних членов домена, поскольку в нашем домене установлен внутренний корпоративный центр сертификации. Сертификат центра сертификации будет автоматически размещен на компьютерах-членах домена в хранилище сертификатов Trusted Root Certification Authorities (Доверенные корневые центры сертификации).
• Импорт коммерческого сертификата web-сайта и создание SSL-приемника
  Теперь мы переключимся с OWA-сервера на ISA-сервер. Мы импортируем коммерческий сертификат web-сайта на ISA-сервер и создадим SSL-приемник, к которому мы и привяжем коммерческий сертификат. Это даст нам возможность создать правило web-публикации для публикации OWA-сайта.

Начнем!

Экспорт сертификата web-сайта с закрытым ключом и цепью сертификатов в файл и копирование его на ISA-сервер

Рисунок 1: Сейчас вы находитесь здесь

Нам нужно использовать сертификат web-сайта и сертификат центра сертификации на ISA-сервере для того, чтобы ISA-сервер принимал входящие запросы для имени mail.msfirewall.org. Для этого мы экспортируем сертификат web-сайта с закрытым ключом из хранилища сертификатов OWA-сервера.Также нам нужно экспортировать и сертификат центра сертификации, который выдал сертификат web-сайта.

Экспорт сертификата web-сайта с закрытым ключом и цепью сертификатов

Для экспорта сертификата с закрытым ключом и цепью сертификатов выполните следующее:

1. Нажмите Start (Пуск), а затем Run (Выполнить).
2. В диалоговом окне Run (Выполнить) введите mmc в текстовое окно Open (Открыть) и нажмите OK.
3. В новой консоли в меню File (Файл) нажмите Add/Remove Snap-in (Добавить/Удалить оснастку).
4. В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите Add (Добавить).
5. В диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку) выберите Certificates (Сертификаты) и нажмите Add (Добавить).
6. На странице Certificates snap-in (Оснастка диспетчера сертификатов) выберите опцию Computer account (Учетная запись компьютера) и нажмите Next (Далее).
7. На странице Select Computer (Выбор компьютера) выберите опцию Local computer (Локальный компьютер) и нажмите Finish (Завершить).
8. В диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку) нажмите Close (Закрыть).
9. В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите OK.
10. В консоли MMC раскройте узел Certificates (Local Computer) (Сертификаты (Локальный компьютер)), а затем Personal (Личные). Нажмите на узел Certificates (Сертификаты). Правой кнопкой щелкните на коммерческий сертификат и выберите в меню пункт All Tasks (Все задачи), а затем Export (Экспорт).
11. На странице Welcome to the Certificate Export Wizard (Начало работы мастера экспорта сертификатов) нажмите Next (Далее).
12. На странице Export Private Key (Экспорт закрытого ключа) выберите опцию Yes, export the private key (Да, экспортировать закрытый ключ). Одной из причин ошибок в работе правил безопасной SSL-публикации заключается в том, что данную опцию забывают выбрать. Нажмите Next (Далее).

    

    Рисунок 2

13. На странице Export File Format (Формат экспортируемого файла) убедитесь, что выбрана опция Personal Information Exchange – PKCS #12 (Файл обмена личной информацией — PKCS #12) и снимите отметку с опции Enable strong protection (Включить усиленную защиту). Отметьте опцию Include all certificates in the certification path if possible (Включить по возможности все сертификаты в путь сертификата). Нажмите Next (Далее)

    

    Рисунок 3

14. На странице Password (Пароль) введите пароль и подтвердите его. Нажмите Next (Далее).
15. На странице File to Export (Имя файла экспорта) введите путь и имя файла для сертификата. В нашем примере мы ввели c:\commcert. Нажмите Next (Далее).

    

    Рисунок 4

16. На странице Completing the Certificate Export Wizard (Завершение работы мастера экспорта сертификатов) нажмите Finish (Завершить).
17. В диалоговом окне, сообщающем, что экспорт прошел успешно, нажмите OK.
18. Скопируйте файл Commcert.pfx на ISA-сервер.

Удаление сертификата web-сайта с OWA-сайта

Рисунок 5: Сейчас вы находитесь здесь

Трудно поверить, но после всего того, что мы сделали, нам нужно удалить коммерческий сертификат web-сайта с OWA-сайта. На самом деле мы просто хотим отвязать коммерческий сертификат от OWA-сайта, нам не обязательно удалять его из хранилища сертификатов компьютера с OWA-сайтом. Мы отвяжем сертификат от Web-сайта для того, чтобы затем мы смогли привязать к OWA-сайту закрытый сертификат.

Причина этому в том, что большинство коммерческих центров сертификации требуют оплаты за каждый сервер, на котором установлен коммерческий сертификат. В нашем случае, если бы мы привязали коммерческий сертификат mail.msfirewall.org и к внутреннему OWA-серверу, и к web-приемнику ISA-сервера, нам бы потребовалось оплатить два сертификата.

Мы можем избежать дополнительных расходов, создав собственный сертификат web-сайта с помощью корпоративного центра сертификации. Такая схема будет работать, поскольку:

• Все компьютеры внутренней сети управляются и являются членами домена Active Directory
• В домене с корпоративным центром сертификации у всех компьютеров-членов домена в хранилище сертификатов Trusted Root Certification Authorities (Доверенные корневые центры сертификации) автоматически установлен сертификат корпоративного центра сертификации

Поскольку все клиенты внутренней сети являются управляемыми компьютерами с автоматически установленным сертификатом центра сертификации, нет смысла использовать коммерческий сертификат. Это позволит нам использовать закрытый сертификат, который мы сами и создадим.

Помните, что в данном варианте настройки ISA-сервер является членом домена, и поэтому у него в хранилище сертификатов Trusted Root Certification Authorities (Доверенные корневые центры сертификации) также установлен сертификат корпоративного центра сертификации. Если бы ISA-сервер не был членом домена, вам бы пришлось добавлять данный сертификат корпоративного центра сертификации вручную, поскольку ISA-сервер обязан доверять центру сертификации, выдавшему сертификат web-сайта, установленный на OWA-сервере.

Удаление коммерческого сертификата с OWA-сайта

Для того чтобы отвязать коммерческий сертификат с OWA-сайта на Exchange-сервере выполните следующее:

1. Откройте консоль Internet Information Services (Службы IIS) из меню Administrative Tools (Администрирование).
2. В консоли Internet Information Services (Службы IIS) раскройте имя сервера, далее узел Web Sites (Web-сайты). Правой кнопкой щелкните по пункту Default Web Site (Web-сайт по умолчанию) и выберите Properties (Свойства).
3. В окне Default Web Site Properties (Свойства web-сайта по умолчанию) выберите вкладку Directory Security (Безопасность).
4. На вкладке Directory Security (Безопасность) в разделе Secure communications (Безопасные соединения) нажмите кнопку Server Certificate (Сертификат сервера).
5. В окне Welcome to the Web Server Certificate Wizard (Начало работы мастера сертификатов web-сервера) нажмите Next (Далее).
6. На странице Modify the Current Certificate Assignment (Изменить текущие привязки сертификатов) выберите опцию Remove the current certificate (Удалить текущий сертификат). Нажмите Next (Далее).

   

   Рисунок 6
7. На странице Remove a Certificate (Удаление сертификата) нажмите Next (Далее).
8. На странице Completing the Web Server Certificate Wizard (Завершение работы мастера сертификата web-сервера) нажмите Finish (Завершить)
9. Оставьте окно Default Web Site Properties (Свойства web-сайта по умолчанию) открытым. Мы будем использовать его в следующей процедуре.

Запрос на закрытый сертификат web-сайта для OWA-сайта

Рисунок 7: Сейчас вы находитесь здесь

Теперь, когда коммерческий сертификат web-сайта отвязан от OWA-сайта, мы готовы запросить и привязать к сайту закрытый сертификат. Мы сделаем запрос из нашего корпоративного центра сертификации. Это позволит нам использовать мастер создания запроса на сертификат IIS и автоматически привязать сертификат к OWA-сайту. Сертификат корпоративного центра сертификации уже установлен на компьютере, поскольку он является членом домена, поэтому нам не нужно устанавливать его вручную.

Имя сертификата будет owa.msfirewall.org. Это то имя, которое внутренние пользователи используют для доступа к сайту. Также на использование этого имени будет настроен ISA-сервер для установки второго SSL-соединения от себя к OWA-серверу. Я обращу на это внимание и объясню причину этого при создании правила web-публикации для публикации OWA-сайта.

Запрос сертификата для OWA-сайта

Для запроса сертификата для OWA-сайта выполните следующее:

1. В окне Default Web Site Properties (Свойства web-сайта по умолчанию) на вкладке Directory Security (Безопасность) нажмите кнопку Server Certificate (Сертификат сервера).
2. В окне Welcome to the Web Server Certificate Wizard (Начало работы мастера сертификатов web-сервера) нажмите Next (Далее).
3. На странице Server Certificate (Сертификат сервера) выберите опцию Create a new certificate (Создать новый сертификат) и нажмите Next (Далее).
4. На странице Delayed or Immediate Request (Отложенный или срочный запрос) выберите опцию Send the request immediately to an online certificate authority (Немедленно послать запрос в центр сертификации) и нажмите Next (Далее).

   

   Рисунок 8

5. На странице Name and Security Settings (Наименование и настройки безопасности) введите имя в поле Name (Имя). В нашем примере это OWA Site Certificate. Обратите внимание, что это не обычное имя сертификата.
6. На странице Organization Information (Информация об организации) введите наименование вашей организации и организационного подразделения и нажмите Next (Далее).
7. На странице Your Site’s Common Name (Имя сайта) введите обычное имя для сертификата web-сайта OWA-сайта. В нашем примере внутренние клиенты, включая ISA-сервер, для доступа к OWA-сайту будут использовать имя owa.msfirewall.org. Поэтому введите его в поле Common name (Имя). Нажмите Next (Далее).

   

   Рисунок 9

8. На странице Geographical Information (Географическая информация) введите текстовые поля Вашу Страну/Регион, Штат/Область и Город/Населенный пункт. Нажмите Next (Далее).
9. На странице SSL Port (Порт SSL) примите значение по умолчанию и нажмите Next (Далее)
10. На странице Choose a Certification Authority (Выбор центра сертификации) выберите корпоративный центр сертификации по умолчанию. Нажмите Next (Далее).
11. Просмотрите установки на странице Certificate Request Submission (Подтверждение запроса сертификата) и нажмите Next (Далее).
12. На странице Completing the Web Server Certificate Wizard (Завершение работы мастера web-сертификатов) нажмите Finish (Завершить).
13. На вкладке Directory Security (Безопасность) нажмите кнопку View Certificate (Просмотр сертификата).
14. На вкладке General (Общие) диалогового окна Certificate (Сертификат) вы увидите обычное имя сертификата и указание на то, что у вас есть закрытый ключ для данного сертификата. Для закрытия окна нажмите OK.

    

    Рисунок 10

15. Для закрытия диалогового окна Default Web Site Properties (Свойства web-сайта по умолчанию) нажмите OK.

Импорт коммерческого сертификата web-сайта и создание SSL-приемника

Рисунок 11: Сейчас вы находитесь здесь

Теперь приступим к настройке ISA-сервера. Вначале нам необходимо импортировать коммерческий сертификат web-сайта в хранилище сертификатов ISA-сервера. Это нужно сделать для того, чтобы привязать сертификат к SSL-приемнику ISA-сервера. Также мы импортируем цепь центров сертификации в хранилище Trusted Root Certification Authorities (Доверенные корневые центры сертификации) на ISA-сервер, для того чтобы ISA-сервер доверял коммерческому сертификату web-сайта.

Импорт коммерческого сертификата web-сайта и цепи сертификатов в хранилище сертификатов ISA-сервера

1. Нажмите Start (Пуск), а затем Run (Выполнить).
2. В диалоговом окне Run (Выполнить) введите mmc в текстовое окно Open (Открыть) и нажмите OK.
3. В новой консоли в меню File (Файл) нажмите Add/Remove Snap-in (Добавить/Удалить оснастку).
4. В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите Add (Добавить).
5. В диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку) выберите Certificates (Сертификаты) и нажмите Add (Добавить).
6. На странице Certificates snap-in (Оснастка диспетчера сертификатов) выберите опцию Computer account (Учетная запись компьютера) и нажмите Next (Далее).
7. На странице Select Computer (Выбор компьютера) выберите опцию Local computer (Локальный компьютер) и нажмите Finish (Завершить).
8. В диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку) нажмите Close (Закрыть).
9. В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите OK.
10. В консоли MMC раскройте узел Certificates (Local Computer) (Сертификаты (Локальный компьютер)), а затем Personal (Личные). Нажмите на узел Certificates (Сертификаты). Правой кнопкой щелкните на коммерческий сертификат и выберите в меню пункт All Tasks (Все задачи), а затем Import (Импорт).
11. На странице Welcome to the Certificate Import Wizard (Начало работы мастера импорта сертификатов) нажмите Next (Далее).
12. На странице File to Import (Файл импорта) Нажмите кнопку Browse (Обзор) и укажите место расположения файла коммерческого сертификата. После того, как путь к файлу появится в текстовом окне File name (Имя файла) нажмите Next (Далее).
13. На странице Password (Пароль) введите пароль к сертификату и нажмите Next (Далее).
14. На странице Certificate Store (Хранилище сертификатов) примите установки по умолчанию и нажмите Next (Далее)
15. На странице Completing the Certificate Import (Завершение импорта сертификата) нажмите Finish (Завершить).
16. В диалоговом окне, сообщающем, что импорт прошел успешно, нажмите OK.
17. Вы увидите, что под узлом Personal (Личные) появился узел Certificates (Сертификаты). Нажмите на этот узел. В правой части консоли вы увидите коммерческий сертификат web-сайта и цепь сертификатов центра сертификации. Нам нужно переместить сертификаты центра сертификации в хранилище сертификатов Trusted Root Certification Authorities (Доверенные корневые центры сертификации).

    

    Рисунок 12

18. Удерживая нажатой клавишу CTRL, щелкните по обоим сертификатам центра сертификации. В нашем примере это VeriSign Trial Secure Server Test CA и VeriSign Trial Secure Server Test Root CA. Выбрав оба сертификата, нажмите кнопку Cut (Вырезать) в панели инструментов консоли.
19. Раскройте узел Trusted Root Certification Authorities (Доверенные корневые центры сертификации) в левой половине консоли и выберите узел Certificates (Сертификаты). Нажмите кнопку Paste (Вставить) в панели инструментов консоли.
20. Вы увидите, что оба сертификата центра сертификации появились в правой части консоли.

    

    Рисунок 13

21. Закройте консоль, не сохраняя изменения.

Теперь займемся настройкой брандмауэра. Для начала создадим web-приемник, который мы будем использовать для правила web-публикации OWA. Мы привяжем коммерческий сертификат к SSL-приемнику.

Создание SSL-приемника

Для создания SSL-приемника выполните следующее:

1. Нажмите Start (Пуск), далее All Programs (Программы). Выберите пункт Microsoft ISA Server и нажмите ISA Server Management (Управление ISA-сервером).
2. В консоли управления ISA-сервера раскройте имя сервера и выберите узел Firewall Policy (Политики сервера).
3. В панели задач узла Firewall Policy (Политики сервера) откройте вкладку Toolbox (Панель инструментов).
4. На вкладке Toolbox (Панель инструментов) щелкните по Network Objects (Сетевые объекты). В меню выберите New (Новый), а затем нажмите Web Listener (Web-приемник).
5. На странице Welcome to the New Web Listener Wizard (Начало работы мастера нового web-приемника) введите в поле Web listener name (Имя web-приемника) название вашего приемника. В нашем примере это SSL Listener. Нажмите Next (Далее).
6. На странице IP Addresses (IP-адреса) отметьте опцию External (Внешний) и нажмите Next (Далее)
7. На странице Port Specification (Порт) уберите флажок с опции Enable HTTP (Разрешить HTTP). Отметьте опцию Enable SSL (Разрешить SSL). Нажмите кнопку Select (Выбор).

   

   Рисунок 14

8. В диалоговом окне Select Certificate (Выбор сертификата) из списка сертификатов выберите коммерческий сертификат. Нажмите OK.

   

   Рисунок 15

9. Нажмите Next (Далее) на странице Port Specification (Порт).
10. На странице Completing the New Web Listener (Завершение создания нового web-приемника) нажмите Finish (Завершить).
11. Дважды щелкните по записи SSL Listener в списке Web Listeners (Web-приемники).

    

    Рисунок 16

12. В окне SSL Listener Properties (Свойства SSL-приемника) выберите вкладку Preferences (Предпочтения).
13. На вкладке Preferences (Предпочтения) нажмите кнопку Authentication (Аутентификация).
14. В диалоговом окне Authentication (Аутентификация) удалите отметку с пункта Integrated (Встроенная).
15. В диалоговом окне, сообщающем о выборе метода аутентификации, нажмите OK.
16. Отметьте пункт OWA Forms-Based (Аутентификация с использованием форм OWA). Затем отметьте опцию Require all users to authenticate (Требовать аутентификацию у всех пользователей). Нажмите OK.

    

    Рисунок 17

17. В диалоговом окне SSL Listener Properties (Свойства SSL-приемника) нажмите OK.

Резюме

В этой части статьи о том, как использовать коммерческий сертификат web-сайта для публикации внутреннего OWA-сайта, мы экспортировали коммерческий сертификат web-сайта с закрытым ключом в файл, скопировали этот файл на ISA-сервер, отвязали коммерческий сертификат от OWA-сайта и запросили закрытый сертификат для OWA-сайта. Мы закончили созданием SSL-приемника, который используем в следующей части для создания правила web-публикации для публикации OWA-сайта. Увидимся!

www.isaserver.org

• Wds служба развертывания
• K exchange servers как удалить
• Nat Windows 2003
• Ограничение времени выполнения хранимой процедуры oracle
• Уникальные шрифты

Tags: Exchange, ISA Server, Microsoft ISA Server