SpayniX Web Portal

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта

Публикация Exchange 2010 – “сертификация”

E-mail Печать PDF
(1 Проголосовало)

Доступ к сервисам почтового сервера в локальной сети – это одно, а вот доступ из сети Интернет должен быть хорошо защищен, так что без HTTPS тут никуда! Если речь заходит о безопасном подключении через HTTPS, то на ум сразу приходит вопрос обеспечения этого соединения сертификатом безопасности, а соответственно и задача этот сертификат где-то получить.
У Exchange 2010 уже есть свой собственный (самоподписанный) сертификат, который по умолчанию используется для предоставления локального доступа к Outlook 2010, OWA и т.п.. В нашем случае такой сертификат не подойдет и мы озадачимся выдачей сертификата безопасности серверу Exchange 2010 из локального центра сертификации (вопросы приобретения и установки коммерческих сертификатов рассматривать не будем). Для того чтобы выдать сертификат серверу, нам необходимо в локальной сети иметь как минимум одни Центр сертификации (ЦС). Для этого на любом сервере под управлением Windows Server 2008 R2 нужно установить роль Службы сертификации Active Directory и добавить компоненты Центр сертификации и Служба регистрации в центре сертификации через Интернет (для получения сертификатов через веб-браузер).
clip_image002
Рис.1: Установка служб сертификации Active Directory.
Дело в том, что сертификаты по умолчанию могут быть привязаны только к одному FQDN-имени. Для включения в сертификат нескольких имен узлов необходимо в центре сертификации активировать функцию SAN.

Примечание: Дополнительное имя может потребоваться для публикации службы Autodiscover. О том, как обойтись без дополнительного имени в сертификате, читайте этот цикл статей http://www.alexxhost.ru/2011/05/autodiscover-1.html.
Subject Alternative Name – это специальное поле в сертификате, которое содержит набор имен узлов. Exchange 2010, при генерации запроса на сертификат, сам добавляет в него несколько имен узлов, но без включенной функции SAN, центр сертификации попросту проигнорирует все лишние имена и оставит только одно.
Для включения функции SAN, на сервере с установленной ролью центра сертификации, необходимо выполнить команду:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
и перезапустить сам ЦС:
net stop certsvc
net start certsvc

В результате во всех новых сертификатах этого ЦС появится ещё одно поле (конечно, если в запросе оно пребуется):
image
Примечание: Подробнее про развертывание инфраструктуры центров сертификации можно почитать здесьhttp://www.alexxhost.ru/2011/05/pki.html

Закончив настройки ЦС можно перемещаться на сервер Exchange, здесь в разделе Конфигурация серверов давайте выберем наш сервер клиентского доступа (CAS), и создадим запрос на получения нового сертификата при помощи действияNew Exchange Certificate… (это можно сделать и через EMS при помощи командлета New-ExchangeCertifate). Введем понятное имя сертификата и на странице и на странице Exchange Configuration внимательно заполним FQDN имена узлов для необходимых нам сервисов.
clip_image003
Рис.2: Конфигурирование доменных имен для сертификата.
В результате мастер предложит вам список доменных имен, которые будут включены в сертификат. Если бы мы не включили функцию SAN в нашем центре сертификации, то в этом случае сертификат был бы привязан только к доменному имени указанному как Set as common name.
clip_image004
Рис.3: Конфигурирование списка доменных имен.
Примечание: Обратите внимание, что здесь используются разные FQDN имена для внутренних и внешних клиентов. Так делать совсем не обязательно, о том, как настроить сервер на работу с одним FQDN именем, можно почитать здесьhttp://www.alexxhost.ru/2011/05/dns-ru-local.html и здесь -http://www.alexxhost.ru/2011/05/owa-exchange-2010-2.html.
На следующем шаге мастера необходимо заполнить информацию о вашей организации и сохранить запрос в файл с расширением *.req.
После формирования запроса его нужно будет подтвердить в ЦС. Для этого откроем веб-страничку нашего ЦС по адресуhttp://YourCA/certsrv и нажмем кнопку Запрос сертификатаРасширенный запросВыдать запрос используя Base-64 шифрованный файл….
clip_image006
Рис.4: Расширенный запрос сертификата.
Затем нужно открыть фал с сохраненным запросом (*.req) например Блокнотом, скопировать его содержание в полеСохраненный запрос, выбрать шаблон сертификата – Веб-сервер и нажать кнопку Выдать.
clip_image008
Рис.5: Генерация сертификата для Exchange.
Теперь возвращаемся в консоль управления Exchange, выбираем новый сертификат и подтверждаем его действиемComplete Pending Request
clip_image009
Рис.6: Подтверждение сертификата.
Если все сделано правильно, то в значок сертификата будет помечен белой галочкой на голубом фоне, и мы сможем приступить к следующему шагу.
Примечание: Если сертификат принят не был, то стоит проверить есть ли у сервера доверие к выдавшему его центру сертификации, для этого нужно открыть MMC, добавить оснастку Сертификаты – Локальный компьютер и посмотреть в раздел Trusted Root Certification Authorities, там должен быть сертификат корневого ЦС, если его там нет, то его нужно запросить со странички http://YourCA/certsrv - запрос сертификата ЦС и импортировать.
После успешного подтверждения сертификата, необходимо ему назначить нужные сервисы, для этого нажмем на нем правой кнопкой мыши – Assign Services to Certificate… и выберем необходимые сервисы, включая IIS.
clip_image010
Рис.7: Присвоение сертификату необходимых служб.
В результате в службе IIS у сайта по умолчанию (Default Web Site) должен измениться SLL сертификат для https, проверить это можно выбрав действие Привязки (Bindings).
clip_image012
Рис.8: SSL сертификат для https.
Теперь нужно установить сертификат вашего ЦС на всех клиентов в Trusted Root Certification Authorities и можно пользоваться безопасным HTTPS соединением (доменным клиентам сертификат корневого ЦС раздается автоматически после установки самого ЦС).

Импорт/экспорт сертификатов

Для того, чтобы клиенты и серверы (например, ISA/TMG) могли принимать сертификат Exchange`a и пользоваться им, нужно выполнить 2 условия:

  1. Обеспечить клиентов доверием к этому сертификату;
  2. Обеспечить серверы самим сертификатом.

Что касается клиентов, то в случае рабочих станций, находящихся в домене, сервер ЦС сам позаботится о том, чтобы доменные пользователи ему доверяли, и установит свой сертификат к ним в Trusted Root Certification Authorities. Если же у вас есть не доменные пользователи или вам необходимо обеспечить клиентов другим сертификатом, то для этого нужно выполнить операцию экспорта/импорта.
Если вам нужен сертификат самого ЦС, то проще всего его запросить через веб-браузер по адресу http://YourCA/certsrv -Загрузка сертификатов ЦС, цепочки сертификатов или CRL.
clip_image002[1]
Рис.9: Запрос сертификата ЦС.
Скачав сертификат на локальный компьютер его можно импортировать на клиентов при помощи групповой политики (для доменных пользователей) - Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certificate Authorities
clip_image003[1]
Рис.10: Назначение корневых сертификатов при помощи GPO.
Или вручную при помощи оснастки MMC – Certificates. Запускаем MMC от имени администратора – File – Add/Remove Snap-is – Certificates – Computer AccountLocal Computer – выбираем нужный раздел и нажимаемИмпорт.
clip_image005
Рис.11: Импорт сертификата через MMC.
Также сертификат можно установить нажав на файле правой кнопкой мыши – Установить сертификат (Install Certificate)и поместить его в необходимый контейнер:
clip_image006[1]
Рис.12: Установка сертификата в выбранный контейнер.
Что касается экспорта, то Личные (Personal) сертификаты выгружаются с приватным ключом
clip_image008[1]
Рис.13: Выгрузка сертификата с приватным ключом.
И при выгрузке надо указать, что экспорт необходимо осуществить со всеми дополнительными параметрами:
clip_image010[1]
Рис.14: Выгрузка с дополнительными параметрами.
Далее необходимо указать пароль на файл и сохранить файл с расширением *.pfx на локальный компьютер.
Корневые сертификаты выгружаются проще, здесь нужно указать формат DER encoded binary X.509 (.CER) и сохранить сертификат в файл с расширением *.cer.
clip_image011
Рис.15: Выгрузка корневых сертификатов в файл *.cer
Затем скопировать полученные файлы на нужный сервер/компьютер и импортировать их.
Что касается клиентских ПК, то им необходим только сертификат корневого ЦС, для того, чтобы доверять всем другим сертификатам, выданным этим ЦС. Для серверов (TMG/ISA) плюсом к корневому сертификату нужно импортировать сертификат Exchange`a, для того, чтобы он мог использоваться на прослушивателе (Listener`e).

Заключение

На этом тему выдачи сертификата мы закончим. В следующей статье поговорим про публикацию самих сервисов Exchange 2010 в сеть Интернет.
Данная статья является частью цикла “Публикация сервисов Exchange 2010 через TMG”, скачать все целиком вы можете в виде PDF файла – здесь, или посмотреть веб-каст на эту тему на портале TechDays по адресу -http://www.techdays.ru/videos/2814.html

 

Источник: www.alexxhost.ru

 
network monitoring tool


Поиск

Информация о профиле

Application afterLoad: 0.003 seconds, 0.52 MB
Application afterInitialise: 0.111 seconds, 3.13 MB
Application afterRoute: 0.128 seconds, 3.68 MB
Application afterDispatch: 1.501 seconds, 8.18 MB
Application afterRender: 1.767 seconds, 9.23 MB