Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 12 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
12
Dung lượng
353,61 KB
Nội dung
PublishOutlookWebAccessExchange2003serverquaISA
2004(PartI)
Trong bài viết này tôi xin giới thiệu với các bạn cách
cấu hình Publish OWA Exchange2003serverquaISA
2004 sử dụng Certificate service để cho phép các
remote user có thể truy cập đến OWA site qua phương
thức bảo mật mạnh SSL-To-SSL briged connections.
SSL (Secure Sockets Layer) Protocol là giao thức nằm
ở lớp Transport (Layer) có khả năng mã hoá dữ liệu
truyền giữa client và server
SSL security hiện được xem là chuẩn cung cấp an toàn cho các remote
access đến Websites, ngoài ra Certificate còn dùng trong việc xác nhận
các đối tượng tham gia kết nối VPN bao gồm VPN clients và VPN
servers.
Ta sẽ sử dụng Certificate service ở chế độ Enterprise CA trong bài viết
này, thế thì tại sao tôi lại dùng Enterprise CA mà không dùng
Standalone CA? tại vì khi chúng ta dùng Enterprise CA thì chứng thực
gốc của CA (Root CA certificate) được tự động đưa vào vùng lưu tr
ữ
certificate của Trusted Root Certification Authorities (Certificate store)
trên tất cả các thành viên trong Domain khi dùng các giao dịch cần
Certificate để nâng cao tính an toàn.
Chú ý: Chúng ta không nhất thiết phải dùng CA ở Enterprise mode, mà
bạn cũng có thể cài ở chế độ Standalone mode cũng được. Nhưng
trong khuôn khổ bài này tôi sẽ không để cập đến Standalone mode
hay làm thế nào để xin Certificate từ một Standalone Mode.
Dưới đây là mô hình mà chúng ta thực hiện cấu hình.
Như ta thấy ở mô hình trên chúng ta có:
1 server đã install AD, DNS = msfirewall.org, Exchanger 2003 serve
r
(EXCHANGE2003BE).
1 server đã setup ISA2004 (ISALOCAL).
1 OWA client (EXTCLIENT).
Các bước chi tiết cần phải cấu hình như sau.
- Tạo một Web Site Certificate tới OWA Web site
- Export OWA Web Site Certificate sử dụng Private Key
- Cấu hình OWA Site sử dụng phương thức mã hoá SSL và Basic
Authentication
- Import OWA Web Site Certificate vào Certificate Store trên máy ISA
- Sử dụng OutlookWebAccess Publishing Winzard và sửa HOSTS file
trên ISA để truy vấn tới địa chỉ OWA Website
- Gia tăng bảo mật bằng cách yêu c
ầ
u xác thực Certificate từ Client
bằng Web Requests Listener
- Configure HOST file trên máy OWA client
- Connection OWA Web Site.
Sau đây chúng ta đi vào chi tiết cấu hình Step-by-Step các bước trên.
* Tạo một Web Site Certificate tới OWA Web site.
Việc thực hiện SSL to SSL bridging thì ISA firewall phải thiết lập 2 kết
nối SSL sau
. Đầu tiên là kết nối giữa OWA client và ISA firewall
. Thứ hai là giữa ISA firewall và OWA Web site trên Internal network
Để hỗ trợ 2 kết nối giữa ISA firewall và OWA Web site ta phải yêu c
ầ
u
1 Web site certificate cho OWA site.
Để yêu cầu Web site certificate cho OWA ta làm như sau:
+ Tại máy EXCHANGE2003BE, click Start chọn Administrative Tools,
click Internet Information Services(IIS) Manager.
+ Trên IIS manager click Web sites, chọn Default Web Site. Right click
Default Web Site chọn Properties.
+ Trên Default Web Site Properties dialog box, click Directory Security
tab.
+ Trên Directory Security tab, click Server Certificate button trong
khung Secure communications.
+ Trên form Welcome to the WebServer Certificate Wizard click Next.
+ Trên form Server Certificate chọn Create a new certificate và click
Next.
+ Tại form Delayed or Immediate Request chọn Send the request
immediately to an online certificate authority và click Next.
+ Tại form Name and Security Settings để mặc định và click Next.
+ Trên Organization Information điền tên tổ chức của bạn trong text
box Organization và tên Organizational Unit’s trong text box
Organizational Unit và click Next
+ Trên form Your Site’s Common Name bạn nhập vào common name
của site, common name này để các user sử dụng truy cập vào OWA
site. Ở bài này tôi dùng common name là owa.msfirewall.org điền vào
trong text box Common name (Nếu chúng ta không nhập đúng
common name này chúng ta sẽ nhìn thấy lỗi khi kết nối vào OWA
site). Click Next
+ Trên form Geographical Information nhập vào text boxes
Country/Region, State/province và City/locality. Click Next
+ Trên form SSL Port chọn giá trị mặc định là 443 trong text box SS
L
port this web site should use. Click Next.
+ Reveiw setting trên form Certificate Request Submission và click
Next
+ Click Finish trên form Completing the WebServer Certificate Wizard
+ Chú ý ta chỉ setup Certificate thành công khi button View Certificate
hiện lên.
+ Click OK trên dialog box Default Web Site Properties.
* Export OWA Web Site Certificate sử dụng Private Key.
ISA firewall đóng vai trò là OWA Web site khi OWA client thiết lập liên
kết SSL đầu tiên giữa bản thân nó và ISA firewall, để làm điều này
chúng ta phải export OWA site's Web site certificate và import Web
site certificate đó vào trong certificate store trên máy ISA, sử dụng
private key.
Sau đây là các bước thực hiện công việc.
+ Vào IIS manager, chọn Web Sites sau đó right click Default Web Site
và chọn Properties.
+ Sau đó chọn tab Directory Security, click View Certificate button
trong khung Secure communications.
+ Trong dialog box Certificate, click Details tab. Trên Details tab click
Copy to File button.
+ Click Next trên form Welcome to the Certificate Export Wizard
+ Trên form Export Private Key chọn Yes, export the private key sau
đó click Next
+ Tại form Export File Format chọn Personal Information Exchange –
PKCS #12 (.PFX) và tích vào check box Include all certificates in the
certification path if possible và nhớ là bỏ chọn trong checkbox Enable
strong protection (requires IE 5.0, NT 4.0 SP4 or above), sau đó click
Next
+ Trên form Password nhập vào password của bạn sau đó nhập lại tại
trường Comfirm Password và click Next
+Trong text box File name của form File to Export bạn nhập
c:\owacert vào và click Next.
+ Sau đó click Finish trên form Completing the Certificate Export
Wizard
+ Click OK trong dialog box Certificate
+ Click OK trong dialog box Default Web Site Properties
+ Copy file owacert.pfx vào trong ổ C:\ của máy ISA firewall
* Cấu hình OWA Site sử dụng phương thức mã hoá SSL và Basic
Authentication
Chúng ta thực hiện các bước cấu hình như sau.
+ Click Start và trỏ tới Administrative Tools và click Internet
Information Services. Trong IIS manager click tên server sau đó là
Default Web Site ta thấy bên trái có 3 thư mục OWA Web site mà
users truy cập từ xa là:
/
Exchange
/
ExchWeb
/
Public
Chúng ta muốn cho ISA firewall luôn luôn đàm phán kết nối SSL khi
giao tiếp giữa 3 thư mục này và OWA client từ xa.
+ Right click Exchange rồi chọn Properties
+ Click vào tab Directory Security, trong khung Authentication and
access control ta click vào Edit
+ Trên dialog box Authentication Methods ta bỏ tất cả các lựa chọn
loại trừ check box Basic authentication ra, sau đó click Yes sau đó sẽ
xuất hiện dialog box cảnh báo là đã sử dụng SSL. Bạn nhập tên
domain của bạn vào trong text box Default domain như trong bài này
thì domain name của tôi là MSFIREWALL. Click OK
+ Click Apply sau đó click OK trong dialog box Exchange Properties
Sau đó chúng ta lặp lại những bước tương tự với /Exchweb và /Public
và đóng IIS manager sau khi ta đã thực hiện thiết lập basic
authentication trên Exchange, Exchweb và Public
Bước tiếp theo chúng ta thực hiện cấu h
ì
nh ISA firewall Web proxy
filter sử dụng SSL khi kết nối tới OWA directory
+ Click Start, trỏ tới Administrative Tools và click Internet Information
Services, click vào server name rồi chọn Defauft Web Site.
+ Sau đó right click vào Exchange chọn Properties
+ Chọn tab Directory Security và click Edit button trong khung Secure
communications
+ Trong dialog box Secure Communications tích vào check box
Require secure channel (SSL) và Require 128-bit encryption, sau đó
click OK
+ Click Apply sau đó click OK trong dialog box Exchange Properties
Làm lại những bước này với /Exchweb và /Public sau đó close IIS
manager lại
* Import OWA Web Site Certificate vào Certificate Store trên máy ISA
Web site certificate phải được import vào certificate store trên máy ISA
firewall trước khi sử dụng Web listener cho phép kết nối từ xa vào
OWA site.
Dưới đây là các bước thực hiện import certificate
+ Tại máy ISA click Start sau đó chọn Run và nhập lệnh mmc rồi enter
+ Trong Console 1 chọn file menu và click Add/Remove Snap-in
+ Click Add buuton trên dialog box Add/Remove Snap-in
+ Click Certificates sau đó click Add
+ Chọn Computer account trên form Certificates snap-in click Next
+ Trên form Select Computer chọn Local computer sau đó click Finish
+ Close Add Standalone snap-in và click OK trong dialog box
Add/Remove Snap-in
+ Right click vào Personal trỏ tới All Task và click Import.
+ Click Next trên form Wellcome to the Certificate Import Winzard
+ Click Browse button và chỉ đến đường dẫn ta đã paste file
owacert.pfx
+ Click Next sau khi đã xuất hiện tên và đường dẫn của certificate file
trong text box File Name
+ Trên form Password nhập vào password của file. Không tích chọn
[...]... với các bạn cấu hình hoàn thiện nốt các bước còn lại trong qua trình Public OWA - Sử dụng OutlookWebAccess Publishing Winzard và sửa HOSTS file trên ISA để truy vấn tới địa chỉ OWA Website - Gia tăng bảo mật bằng cách yêu cầu xác thực Certificate từ Client bằng Web Requests Listener - Configure HOST file trên máy OWA client - Connection OWA Web Site . Publish Outlook Web Access Exchange 2003 server qua ISA
2004 (Part I)
Trong bài viết này tôi xin giới thiệu với các bạn cách
cấu hình Publish. trên chúng ta có:
1 server đã install AD, DNS = msfirewall.org, Exchanger 2003 serve
r
(EXCHANGE2 003BE).
1 server đã setup ISA 2004 (ISALOCAL).
1 OWA