Настройка Exchange Server 2003 и OWA с использованием SSL (часть 1)

В этой статье  мы рассмотрим как в организации, в которой установлен Exchange Server внедрить центр сертификации и сделать безопасное подключение OWA с использованием защищенного соединения SSL.
Обычно, когда клиенты соединяются с внешних сетей ( Интернет) к серверу, путем использования OWA, они используют метод так называемой «basic authentication» — и по умолчанию этот метод передает весь трафик (включая имя пользователя и пароль) между сервером и клиентом в открытом виде. В связи с этим, очень рекомендуется чтобы весь трафик был зашифрован с использованием SSL.
В этой статье я опишу как, шаг за шагом, создать и внедрить ваш собственный SSL сертификат с использованием центра сертификации.


Вначале необходимо определиться, какой из серверов будет держателем центра сертификации (CA). Это может быть любой из серверов, но рекомендую вам использовать один из серверов, который как минимум является членом вашего домена/леса. Не самый плохой выбор, если служба CA будет установлена на самом Exchange сервере — особенно если вы будете использовать CA Web компоненту, которая требует предварительной установки IIS сервиса.

Итак начнем.

Установка Microsoft Certificate Service
Для того чтоб установить CA необходимы привилегии администратора системы. Заходим на сервер с административной учетной записью и выполняем следующие действия (описываемые действия для англоязычной системы — для систем с другим языком — порядок действий остается неизменным):

1.Нажимаем Start | Control Panel | Add or Remove Programs.
2.Выбираем Add/Remove Windows Components.
3.Ставим галочку на  Certificate Services

13

Появится окно предупреждения. В нем будет написано, что вы не сможете поменять имя сервера или принадлежность к домену до тех пор, пока машина (сервер) будет выступать в роли сервера сертификатов.

21

4.   Нажимаем Yes, затем  Next.

5. Далее выбираем  Enterprise root CA , и затем нажимаем  Next.

32

Отступление…

Когда работаете в среде OWA вы должны выбирать обычно установку enterprise root certificate service вместо отдельно стоящего root certificate service. Я не буду описывать различия между типами CA, но вы можете более подробную информацию почерпнуть на сайте Microsoft в Technet по следующем ссылкам:

В открывшемся новом окне вводим имя для CA. Имя CA это обычно DNS имя машины (сервера) или NetBIOS имя.

По умолчанию, срок действия сертификатов выданых собственным CA — 5 лет. Это в большинстве случаев достаточно, поэтому эти значения можно оставить без изменения.  Когда поля заполнены — нажимаем Next.

42

6.  На странице Certificate Database Settings оставьте значения по умолчанию (хотя при желании можно указать альтернативные пути размещения базы и фалов логов). Т.к сервер часть домена, обычно нет необходимости размещать базу сертификатов в папке с общим доступом. Нажимаем Next.

51

7. Появится еще одно окошко с предупреждениемдля завершения установки сервис IIS должен быть временно остановлен. Нажимаем Yes.

61

Замечание: Если до момента установки CA у вас не включены в IIS  Active Server Pages (ASPs) — появится дополнительное окошко с предупреждением, что вам необходимо это сделать, если вы хотите использовать  Certificate Services Web. И будет предложен выбор сделать это прямо сейчас. Если вам это необходимо, нажмите Yes.

8.  После того,как  установщик закончит работу — нажимаем Finish.

71

На этом установку CA можно считать законченной.

Во второй части я опишу последовательность действий для получения и использования SSL сертификата в OWA.

2 комментария to “Настройка Exchange Server 2003 и OWA с использованием SSL (часть 1)”

  1. Митя:

    Здесь не может быть ошибки?

Leave a Reply

*

Dansette

Рейтинг@Mail.ru Яндекс.Метрика