Este timpul să scrieți un alt articol despre o altă metodă bună de protejare a site-ului OWA și a directoarelor virtuale cu SSL. Vă voi spune cum puteți utiliza un certificat SSL gratuit de la un furnizor terță parte. Nu, nu vorbesc despre producătorii lacomi de certificate de probă de 30 de zile, cum ar fi VeriSign și altele. Nu este foarte cool să folosiți versiuni gratuite de certificate de 30 de zile, știind că atunci trebuie să plătiți de la cincizeci la câteva sute de dolari pe an, nu este deloc grozav.
Cine oferă certificate gratuite SSL? Credeți sau nu, aceasta este compania israeliană Startcom Ltd .. cunoscută pentru versiunea sa de Linux (Startcom Linux). Această companie este convinsă că drepturile la certificatul SSL nu ar trebui să depindă de capacitățile financiare ale persoanei și / sau ale organizației. Nu pot să nu fiu de acord cu ei.
În acest moment, certificatul de Starcom nu au încredere astfel de browsere cum ar fi Internet Explorer, Firefox, Mozilla și altele. Dar, în acest moment producătorii, cum ar fi Microsoft si Mozilla auditează Starcom, astfel încât să putem spera că, în viitorul apropiat, aceste browsere vor avea încredere că certificatul implicit . Asta înseamnă că am de gând pentru a instrui utilizatorii să instaleze manual certificatul (sau utilizând metoda descrisă în buletinul Microsoft 297681 - Mesaj de eroare: „Certificatul emis de o societate care nu face parte din mandatarilor“ pentru a nu pentru a vedea mesajul de avertizare de securitate. prezentat în figura 1. Nu, nu înseamnă.
Pregătirea serverului OWA.
Mai întâi, pe serverul Exchange, porniți consola de administrare a serverului IIS, extindeți nodul Computer Local> Web Sites și selectați Properties din intrarea implicită a site-ului web. Acum, selectați fila Securitate director. și veți vedea fereastra prezentată în Figura 2.
Notă.
Dacă rețeaua utilizează o configurație cu un server extern / intern, trebuie să permiteți SSL numai pe serverul (urile) extern (e). Cu alte cuvinte, într-o astfel de situație, toate procedurile descrise mai jos trebuie efectuate numai pe serverul (urile) extern (e).
Faceți clic pe butonul Server Certificate. selectați Creați un certificat nou. apoi faceți clic pe Următorul. așa cum se arată în imagine
Selectați Pregătiți acum solicitarea, dar trimiteți-o mai târziu (pregătiți acum solicitarea, dar trimiteți-o mai târziu). apoi faceți clic pe Următorul.
Introduceți o descriere a certificatului (de exemplu, certificatul OWA SSL), apoi faceți clic pe Următorul.
Acum introduceți numele organizației în câmpul Nume organizație și unitatea organizațională în câmpul Unitate organizațională. apoi faceți clic pe Următorul.
Notă.
După ce introduceți un nume simplu în caseta Nume obișnuit, faceți clic pe Următorul.
Introduceți regiunea / țara. Statul / Provincia și Orașul și faceți clic pe Următorul.
Specificați locația și numele fișierului în care doriți să stocați informațiile despre certificat, apoi faceți clic pe Următorul (aceste informații vor fi apoi copiate în formularul de pe site-ul Web Startcom).
Faceți clic pe Următorul. apoi faceți clic pe Finalizare.
Solicitați un certificat de la firma Startcom.
Este timpul să obțineți un certificat de la Startcom. Primul lucru pe care trebuie să-l faceți este să deschideți fișierul certreg.txt și să copiați conținutul acestuia în clipboard, apoi faceți clic pe acest link pentru a porni Expertul certificat. Selectați certificatul de clasă 1 și faceți clic pe Continuați. Deoarece vom folosi certificatul pe serverul web IIS, selectați opțiunea Server Certificate (fără generarea CSR) (fără a genera o solicitare de semnare a certificatului)). apoi faceți clic pe Continuați. Acum, completați formularul de informații personale și faceți clic pe Continuați.
Rulați o interogare în așteptare.
Ne întoarcem la serverul OWA, deschideți consola de administrare a serverului IIS (dacă ați închis-o), apoi deschideți-o și faceți clic dreapta pe site-ul Web implicit. Selectați fila Securitate director. apoi faceți clic pe Server Certificate> Next. selectați Procesați cererea în așteptare și instalați certificatul și faceți clic pe Următorul,
Introduceți calea către fișierul SSL.CRT. conținând certificatul (calea ar trebui să fie C :. \ ssl.crt dacă nu specificați altă parte), apoi faceți clic pe Next (Înainte)> SSL accepta setarea de port implicit (portul SSL (443)) și apăsați Next (Următorul) (interesant, de câte ori am făcut deja clic pe Următorul și Continuați?). Acum confirmați certificatul de sinteză, faceți clic pe Următorul. apoi faceți clic pe Finalizare.
Înainte de a permite SSL certificat pe site-ul implicit, ar trebui să facă un pas mai mult, dar numai dacă nu executați certificatul Startcom pe serverul OWA, și, prin urmare, a stabilit certificatele de CA și un centru intermediar în magazin Trusted Root Certification Autoritățile (autorități de certificare a principalelor certificate de încredere).
Deschideți o consolă MMC goală pe serverul OWA: faceți clic pe Start> Run. introduceți MMC și apăsați Enter. Apoi, selectați Fișier> Adăugare / Eliminare Snap-in din meniu. faceți clic pe Adăugați și selectați Certificate (certificate)
Extindeți Acum autorități de certificare a certificatelor de rădăcină> Certificate și faceți clic pe butonul din stânga din containerul Certificate. Selectați Toate sarcinile> Import.
Apare fereastra Expert certificat. Faceți clic pe Următorul. apoi specificați calea spre fișierul CA.CER (Figura 14) și faceți din nou clic pe Următorul.
Confirmați că certificatul este stocat în Autoritățile de certificare a principalelor certificate de încredere (Figura 15). faceți clic pe Următorul. apoi faceți clic pe Terminare> OK.
Faceți același lucru pentru certificatul sub.class1.server.ca.cer. și pentru certificatul de server OWA propriu (SSL-CRT). Toate certificatele sunt adăugate la depozit, așa cum se arată în figuri
Permisiune SSL pe site-ul Web implicit.
Pentru a activa SSL pe site-ul Web implicit, deschideți Consola de administrare IIS și selectați Properties din intrarea Default Web Site. Acum, selectați fila Securitate director și în secțiunea Secure Communications faceți clic pe butonul Editare (Figura 19).
Notă.
În funcție de serverul dvs. Exchange (un server sau o configurație externă / internă a serverului), precum și existența directoarelor virtuale non-Exchange pe site-ul Web implicit, puteți activa SSL în directoarele virtuale Exchange și Public. dar nu pe întregul site. De asemenea, rețineți că permisiunea SSL de pe site-ul web implicit poate cauza probleme cu OMA (Outlook Mobile Access - acces mobil la Outlook) și ActiveSync.
Verificați cerința Solicitați un canal securizat (SSL) și Solicitați opțiuni de criptare pe 128 de biți (Figura 20). Deoarece majoritatea browserelor web moderne acceptă criptarea pe 128 de biți.
Faceți dublu clic pe Ok și închideți consola Management IIS. Acum vom analiza partea clientului pentru a vă asigura că conexiunea SSL către site-ul OWA funcționează corect.
Lucrăm din partea clientului.
Notă.
De ce să permită producătorilor terți cum ar fi companii VeriSign, RapidSSL, InstantSSL, Entrust etc. să ia câteva sute de dolari pe an pentru furnizarea unui certificat simplu? Și totuși - este corect să numiți un certificat de 30 de zile gratuit? Nu cred.
Este timpul să schimbăm piața și să susținem companiile precum Startcom, astfel încât certificatele cu adevărat gratuite să fie acceptate de browsere precum Internet Explorer, FireFox, Mozilla, Opera etc.
Articole pe această temă.
Dacă ați pierdut prima parte a acestei serii, citiți-o folosind instrumentul Exchange Server Remote Connectivity Analyzer Tool (Partea.