Публикация OWA Exchange 2007 с использованием ISA 2006 и Web publishing
С помощью ISA 2006 вы можете опубликовать Web сервер двумя способами:
- Публикация с использованием правил публикации сервера (Server publishing)
- Публикация с использованием правил публикации Web-сервера (Web publishing)
Публикация с использованием правил публикации Web-сервера (Web publishing) является рекомендуемым методом для публикации HTTP или HTTPS с использованием ISA Server, включая Microsoft Outlook Web Access сервер. Web publishing обеспечивают ряд преимуществ по сравнению с Server publishing, в том числе возможность для расшифровки и проверки HTTPS трафика до передачи его на публикуемый Web-сервер, кэширование ответов от опубликованных Web-серверов, аутентификация клиента на ISA Server и фильтрация слоя веб-приложений для проверки HTTP и HTTPS трафика, прежде чем пропустить его в сети охраняемые ISA Server.
В этой статье я расскажу о том, как настроить публикацию OWA Exchange 2007 с использованием ISA 2006 и Web publishing.
Web-публикация через HTTPS соединение
При использовании безопасного правила Web-публикации для публикации внутреннего Web-сервера через ISA Server, клиентские запросы для Web-сервера прибывают на компьютер ISA Server через подключение HTTPS , а тот в свою очередь перенаправляет их на опубликованный Web-сервер.
Имеются несколько вариантов перенаправления:
- Перенаправление HTTPS запросов к Web-серверу опубликованному по HTTP . В этом случае, ISA Server проводит аутентификацию клиента с помощью запроса сертификата. SSL сертификат требуется только на ISA Server.
- Перенаправление HTTPS запросов к Web-серверу опубликованному по HTTPS . Это еще более безопасная конфигурация, которая сохраняет HTTPS соединение от клиента до и ISA и от ISA к опубликованному Web-серверу. В этом случае, ISA сервер проводит аутентификацию клиента с помощью сертификата, а также проводит аутентификацию опубликованного Web-сервера тоже с использованием сертификата. Сертификат потребуется на обоих ISA сервере и опубликованном Web-сервере.
Есть ряд моментов, которые необходимо учитывать при получении, установке и настройке сертификатов:
- Для проверки подлинности внешних клиентов ISA сервер, как правило использует сертификат центра сертификации (CA). Так как Internet Information Services (IIS) обычно не устанавливается на ISA сервер, то запросить и установить сертификат необходимо на том Web-сервере, который вы намерены опубликовать, а затем экспортировать этот сертификат в ISA сервер. В настоящее время не существует способа, чтобы запросить сертификат для ISA сервера напрямую в CA. Для получения подробной информации о получении и настройки сертификатов, можете почитать на сайте Microsoft тут — Цифровые сертификаты для ISA Server 2004 . Информация в этом документе также относится и к ISA 2006.
- Когда вы указываете (Common Name — CN) имя в запросе сертификата, необходимо следовать определенным правилам именования:
- Имя сертификата на ISA сервере должно совпадать с именем, которое внешние клиенты будут указывать в браузере, чтобы достичь опубликованного Web-сервера. Это ограничение не применяется, если вы используете групповой сертификат. ISA Server 2004 поддерживает использование групповых сертификатов (wildcard certificates) только на Web прослушиватель (Web Listner). Использование групповых сертификатов на бэкэнд Web-сервер не поддерживается. Однако эта конфигурация уже поддерживается в ISA Server 2006. В групповом сертификате будет указан подстановочный знак в CN имени, например, *. internal.net. Это означает, что любое имя хоста в internal.net домене будет доступно для запроса клиента, например, клиент может запросить адреса owa.internal.net и www.internal.net. Обе просьбы соответствуют групповому сертификату. ISA сервер позволяет связать только один сертификат с Web прослушивателем (Web Listner). Групповые сертификаты могут быть полезным средством для публикации нескольких безопасных веб-узлов с использованием одного IP адреса. Более подробно о настройке групповых сертификатов в ISA Server 2004 можно прочитать в разделе Публикация нескольких веб-узлов с помощью шаблонов сертификатов в ISA Server 2004 (www.microsoft.com).
- В сценарии перенаправления HTTPS запросов к Web-серверу опубликованному по HTTPS (сертификаты требуются как на ISA Server, так и на опубликованном Web-сервере), имя сертификата в IIS на сайте публикуемого Web-сервера должно совпадать с именем, под которым ISA Server определяет Web-сервер. (Это имя, указывается на вкладке Куда (To) правила Web-публикации на ISA сервере.)
- Между созданием запроса сертификата и установкой сертификата, не стоит делать следующее:
- Изменять имя компьютера или привязки Web-сайта.
- Изменять уровни шифрования (применять пакет строгого шифрования).
- Удалять запросы «в ожидании» на сертификат.
- Изменять любые свойства безопасного Web-узлов.
- При экспорте сертификата с Web-сервера для импорта на ISA Server, вы также должны экспортировать и закрытый ключ. В мастере экспорта сертификатов на Web-сервере, если вы не выберите пункт — Да, экспортировать закрытый ключ (Yes, export the private key), вы не сможете связать сертификат с веб-прослушивателем, когда будете создавать правило публикации веб на ISA сервере.
- При экспорте файла сертификата с Web-сервера для импорта на компьютере ISA, выберите параметр Включить все сертификаты в пути сертификации, если это возможно (Include all certificates in the certification path if possible) . Эта функция позволяет включить в экспорт, как сертификат Web-сайта, так и все сертификаты в иерархии CA.
- Сертификаты должны быть импортированы для учетной записи компьютера (Local Computer) и хранится в личном хранилище (Personal) сертификатов на компьютере ISA Server.
- В сценарии перенаправления HTTPS запросов к Web-серверу опубликованному по HTTPS (сертификаты требуются как на ISA Server, так и на опубликованном Web-сервере), вы можете оставить копию сертификата экспортируемого на ISA Server на Web-сервере. В этом случае этот же сертификат используется для проверки подлинности ISA Server для внешних клиентов, и внутреннего Web-сервера на ISA сервере. Если вы решите использовать один и тот же сертификат на ISA сервере и опубликованном Web-сервере, необходимо убедиться, что имя сертификата настроено правильно. Название сертификата должно соответствовать имени, которое внешние пользователи будут указывать чтобы достичь опубликованного сайта (имя на вкладке Внешнее Имя (Public Name) правила Web-публикации), а также имени, под которым ISA Server ссылается на внутренний Web-сервер (имя на вкладке Куда (To) правила Web-публикации).
- Клиенты должны доверять предоставленным SSL сертификатам сервера. Сертификаты сервера являются доверенными для браузеров клиентов в том случае, если корневой сертификат Центра Сертификации (CA), выпустивший сертификат, присутствует в хранилище Доверенных корневых центров сертификации (Trusted Root Certification Authorities) на компьютере клиента. Проверьте:
- Внешние клиенты должны доверять SSL сертификату, который предоставил ISA сервер для авторизации себя на этих внешних клиентах.
- В сценарии перенаправления HTTPS запросов к Web-серверу опубликованному по HTTPS, ISA сервер должен доверять Центру Сертификации (CA), который выдал сертифкат для использования опубликованным Web-сервером для авторизации на ISA сервере. Если это сертификат выдал внутренний Корпоративный Центр Сертификации (enterprise CA), ISA сервер принадлежит тому же домену что и Корпоративный Центр Сертификации (enterprise CA), то сертификат Корневого Центр Сертификации (root CA) будет автоматически установлен на ISA сервер в хранилище Доверенных корневых центров сертификации (Trusted Root Certification Authorities). Если вы получили сертификат для Web-сервера от внутреннего Обособленнного Центр Сертификации (stand-alone CA) или ваш ISA сервер не в том же домене, что Корпоративный Центр Сертификации (enterprise CA), то вы должны установить корневой сертификат Центра Сертификации на ISA сервер в хранилище Доверенных корневых центров сертификации (Trusted Root Certification Authorities).
- Если внутренние сертификаты выдаются Корпоративным Центром Сертификации (enterprise CA), Служба Сертификации, ISA сервер или Web-сервер должны иметь возможность соединится с Центром Сертификации, для запроса сертификата или получения обновления сертификата с помощью системы автоматической подачи заявок (autoenrollment). Убедитесь, что соответствующие правила доступа включены между соответствующими сетями. ISA сервер должен иметь возможность разрешать имя Корпоративного Центра Сертификации (enterprise CA) в формате FQDN (fully qualified domain name), чтобы установить с ним связь.
От теории к практике.
Создание сертификата на публикуемом Web-сервере.
На Web сервере открываем оснастку IIS (я буду писать про IIS7, по IIS 6 уже много где написано и его настройка более привычна что ли).
Переходим в раздел настроек сертификатов IIS сервера — Server Certificates. В открывшемся окне, на панели справа, запускаем Create Domain Certificate (я буду описывать создание сертификата с использованием Корпоративного Центра Сертификации (Enterprise CA) )
В открывшемся окне заполняем информацию по сертификату. Основной параметр — это «Common Name» — это имя должно совпадать с тем адресом, что набирает конечный пользователь в своем браузере для доступа к опубликованному сайту. Заполнив остальные поля переходим далее.
В этом окне указываете Центр Сертификации и дружественное имя сертификата.
При нажатии кнопки Select выберите Центр Сертификации
Так выглядит итоговое окно. Нажимаем кнопку Finish и наш сертификат создается.
После того как сертификат создан, его необходимо экспортировать. Для этого на только что созданном сертификате нажимаем правой кнопкой мыши и выбираем пункт Export.
Указываем путь и имя файла для экспорта сертификата, указываем пароль для защиты сертификата. Пароль запоминаем, он будет необходим при импорте сертификата.
Настройка виртуального каталога OWA в IIS.
Далее переходим к настройке виртуального каталога OWA. Там же в консоли управления IIS открываем Default Web Site и переходим к низлежащему каталогу OWA. Выбираем настройки SSL (SSL Settings).
в настройках SSL выставляем следующие параметры
требовать SSL и использовать 128-битную SSL.
Настройка ISA сервера.
Прежде всего на ISA сервер необходимо импортировать сгенерированный ранее сертификат.
Для этого открываем оснастку mmc и дабавляем туда консоль управления сертификатами
указываем что хотим управлять сертификатами Компьютера
а именно локального компьютера (напоминаю, эту процедуру мы делаем на ISA сервере)
открываем указанную ветку, именно туда мы должны импортировать сертификат
запускаем мастер импорта сертификата
копируем файл с сертификатом на компьютер ISA сервера и указываем путь к нему в мастере импорта
вводим пароль, который использовали при экспорте
указываем в какое хранилище импортировать сертификат
сертификат импортирован
вот что мы должны получить в итоге
После импорта сертификата переходим к созданию правила публикации. Открываем консоль ISA сервера.
На ISA сервер создаем новое правило публикации Web узла.
задаем имя правила публикации
указываем, что мы собираемся публиковать (в нашем случае сервис OWA Exchange 2007)
тип публикации
говорим, что будем использовать SSL
в следующем окне указываем имя сервера, который будем публиковать
задаем параметры внешнего имени публикуемого сервиса
далее система предлагает нам указать Web-listner, в нашем случае его надо сначала создать
переходим к мастеру создания Web-listner
указываем, требовать SSL для клиентов
выбираем интерфейс на котором будет работать Web-listner
переходим к выбору SSL сертификата
указываем импортированный ранее сертификат
указываем параметры проверки подлинности
и настройки параметров единого входа
на этом создание Web-listner закончено
заканчиваем настройки правила публикации
выбираем метод делегирования проверки подлинности
и указываем для кого данное правило будет работать
на этом создание Web-listner закончено
В итоге, после этих не сложных операций, у нас получается наиболее защищенный опубликованный OWA.