Публикация OWA Exchange 2007 с использованием ISA 2006 и Web publishing

С помощью ISA 2006 вы можете опубликовать Web сервер двумя способами:

Публикация с использованием правил публикации сервера (Server publishing)
Публикация с использованием правил публикации Web-сервера (Web publishing)

Публикация с использованием правил публикации Web-сервера (Web publishing) является рекомендуемым методом для публикации HTTP или HTTPS с использованием ISA Server, включая Microsoft Outlook Web Access сервер. Web publishing обеспечивают ряд преимуществ по сравнению с Server publishing, в том числе возможность для расшифровки и проверки HTTPS трафика до передачи его на публикуемый Web-сервер, кэширование ответов от опубликованных Web-серверов, аутентификация клиента на ISA Server и фильтрация слоя веб-приложений для проверки HTTP и HTTPS трафика, прежде чем пропустить его в сети охраняемые ISA Server.

В этой статье я расскажу о том, как настроить публикацию OWA Exchange 2007 с использованием ISA 2006 и Web publishing.

Web-публикация через HTTPS соединение

При использовании безопасного правила Web-публикации для публикации внутреннего Web-сервера через ISA Server, клиентские запросы для Web-сервера прибывают на компьютер ISA Server через подключение HTTPS , а тот в свою очередь перенаправляет их на опубликованный Web-сервер.

Имеются несколько вариантов перенаправления:

Перенаправление HTTPS запросов к Web-серверу опубликованному по HTTP . В этом случае, ISA Server проводит аутентификацию клиента с помощью запроса сертификата. SSL сертификат требуется только на ISA Server.
Перенаправление HTTPS запросов к Web-серверу опубликованному по HTTPS . Это еще более безопасная конфигурация, которая сохраняет HTTPS соединение от клиента до и ISA и от ISA к опубликованному Web-серверу. В этом случае, ISA сервер проводит аутентификацию клиента с помощью сертификата, а также проводит аутентификацию опубликованного Web-сервера тоже с использованием сертификата. Сертификат потребуется на обоих ISA сервере и опубликованном Web-сервере.

Есть ряд моментов, которые необходимо учитывать при получении, установке и настройке сертификатов:

Для проверки подлинности внешних клиентов ISA сервер, как правило использует сертификат центра сертификации (CA). Так как Internet Information Services (IIS) обычно не устанавливается на ISA сервер, то запросить и установить сертификат необходимо на том Web-сервере, который вы намерены опубликовать, а затем экспортировать этот сертификат в ISA сервер. В настоящее время не существует способа, чтобы запросить сертификат для ISA сервера напрямую в CA. Для получения подробной информации о получении и настройки сертификатов, можете почитать на сайте Microsoft тут — Цифровые сертификаты для ISA Server 2004 . Информация в этом документе также относится и к ISA 2006.
Когда вы указываете (Common Name — CN) имя в запросе сертификата, необходимо следовать определенным правилам именования:
- Имя сертификата на ISA сервере должно совпадать с именем, которое внешние клиенты будут указывать в браузере, чтобы достичь опубликованного Web-сервера. Это ограничение не применяется, если вы используете групповой сертификат. ISA Server 2004 поддерживает использование групповых сертификатов (wildcard certificates) только на Web прослушиватель (Web Listner). Использование групповых сертификатов на бэкэнд Web-сервер не поддерживается. Однако эта конфигурация уже поддерживается в ISA Server 2006. В групповом сертификате будет указан подстановочный знак в CN имени, например, *. internal.net. Это означает, что любое имя хоста в internal.net домене будет доступно для запроса клиента, например, клиент может запросить адреса owa.internal.net и www.internal.net. Обе просьбы соответствуют групповому сертификату. ISA сервер позволяет связать только один сертификат с Web прослушивателем (Web Listner). Групповые сертификаты могут быть полезным средством для публикации нескольких безопасных веб-узлов с использованием одного IP адреса. Более подробно о настройке групповых сертификатов в ISA Server 2004 можно прочитать в разделе Публикация нескольких веб-узлов с помощью шаблонов сертификатов в ISA Server 2004 (www.microsoft.com).
- В сценарии перенаправления HTTPS запросов к Web-серверу опубликованному по HTTPS (сертификаты требуются как на ISA Server, так и на опубликованном Web-сервере), имя сертификата в IIS на сайте публикуемого Web-сервера должно совпадать с именем, под которым ISA Server определяет Web-сервер. (Это имя, указывается на вкладке Куда (To) правила Web-публикации на ISA сервере.)
Между созданием запроса сертификата и установкой сертификата, не стоит делать следующее:
- Изменять имя компьютера или привязки Web-сайта.
- Изменять уровни шифрования (применять пакет строгого шифрования).
- Удалять запросы «в ожидании» на сертификат.
- Изменять любые свойства безопасного Web-узлов.
При экспорте сертификата с Web-сервера для импорта на ISA Server, вы также должны экспортировать и закрытый ключ. В мастере экспорта сертификатов на Web-сервере, если вы не выберите пункт — Да, экспортировать закрытый ключ (Yes, export the private key), вы не сможете связать сертификат с веб-прослушивателем, когда будете создавать правило публикации веб на ISA сервере.
При экспорте файла сертификата с Web-сервера для импорта на компьютере ISA, выберите параметр Включить все сертификаты в пути сертификации, если это возможно (Include all certificates in the certification path if possible) . Эта функция позволяет включить в экспорт, как сертификат Web-сайта, так и все сертификаты в иерархии CA.
Сертификаты должны быть импортированы для учетной записи компьютера (Local Computer) и хранится в личном хранилище (Personal) сертификатов на компьютере ISA Server.
В сценарии перенаправления HTTPS запросов к Web-серверу опубликованному по HTTPS (сертификаты требуются как на ISA Server, так и на опубликованном Web-сервере), вы можете оставить копию сертификата экспортируемого на ISA Server на Web-сервере. В этом случае этот же сертификат используется для проверки подлинности ISA Server для внешних клиентов, и внутреннего Web-сервера на ISA сервере. Если вы решите использовать один и тот же сертификат на ISA сервере и опубликованном Web-сервере, необходимо убедиться, что имя сертификата настроено правильно. Название сертификата должно соответствовать имени, которое внешние пользователи будут указывать чтобы достичь опубликованного сайта (имя на вкладке Внешнее Имя (Public Name) правила Web-публикации), а также имени, под которым ISA Server ссылается на внутренний Web-сервер (имя на вкладке Куда (To) правила Web-публикации).
Клиенты должны доверять предоставленным SSL сертификатам сервера. Сертификаты сервера являются доверенными для браузеров клиентов в том случае, если корневой сертификат Центра Сертификации (CA), выпустивший сертификат, присутствует в хранилище Доверенных корневых центров сертификации (Trusted Root Certification Authorities) на компьютере клиента. Проверьте:
- Внешние клиенты должны доверять SSL сертификату, который предоставил ISA сервер для авторизации себя на этих внешних клиентах.
- В сценарии перенаправления HTTPS запросов к Web-серверу опубликованному по HTTPS, ISA сервер должен доверять Центру Сертификации (CA), который выдал сертифкат для использования опубликованным Web-сервером для авторизации на ISA сервере. Если это сертификат выдал внутренний Корпоративный Центр Сертификации (enterprise CA), ISA сервер принадлежит тому же домену что и Корпоративный Центр Сертификации (enterprise CA), то сертификат Корневого Центр Сертификации (root CA) будет автоматически установлен на ISA сервер в хранилище Доверенных корневых центров сертификации (Trusted Root Certification Authorities). Если вы получили сертификат для Web-сервера от внутреннего Обособленнного Центр Сертификации (stand-alone CA) или ваш ISA сервер не в том же домене, что Корпоративный Центр Сертификации (enterprise CA), то вы должны установить корневой сертификат Центра Сертификации на ISA сервер в хранилище Доверенных корневых центров сертификации (Trusted Root Certification Authorities).
- Если внутренние сертификаты выдаются Корпоративным Центром Сертификации (enterprise CA), Служба Сертификации, ISA сервер или Web-сервер должны иметь возможность соединится с Центром Сертификации, для запроса сертификата или получения обновления сертификата с помощью системы автоматической подачи заявок (autoenrollment). Убедитесь, что соответствующие правила доступа включены между соответствующими сетями. ISA сервер должен иметь возможность разрешать имя Корпоративного Центра Сертификации (enterprise CA) в формате FQDN (fully qualified domain name), чтобы установить с ним связь.

От теории к практике.

Создание сертификата на публикуемом Web-сервере.

На Web сервере открываем оснастку IIS (я буду писать про IIS7, по IIS 6 уже много где написано и его настройка более привычна что ли).

Переходим в раздел настроек сертификатов IIS сервера — Server Certificates. В открывшемся окне, на панели справа, запускаем Create Domain Certificate (я буду описывать создание сертификата с использованием Корпоративного Центра Сертификации (Enterprise CA) )

В открывшемся окне заполняем информацию по сертификату. Основной параметр — это «Common Name» — это имя должно совпадать с тем адресом, что набирает конечный пользователь в своем браузере для доступа к опубликованному сайту. Заполнив остальные поля переходим далее.

В этом окне указываете Центр Сертификации и дружественное имя сертификата.

При нажатии кнопки Select выберите Центр Сертификации

Так выглядит итоговое окно. Нажимаем кнопку Finish и наш сертификат создается.

После того как сертификат создан, его необходимо экспортировать. Для этого на только что созданном сертификате нажимаем правой кнопкой мыши и выбираем пункт Export.

Указываем путь и имя файла для экспорта сертификата, указываем пароль для защиты сертификата. Пароль запоминаем, он будет необходим при импорте сертификата.

Настройка виртуального каталога OWA в IIS.

Далее переходим к настройке виртуального каталога OWA. Там же в консоли управления IIS открываем Default Web Site и переходим к низлежащему каталогу OWA. Выбираем настройки SSL (SSL Settings).