Для авторов
Архив рассылки
Русский
English
   Путь: Panvasoft / Блог / Защита OWA 2003 с использованием бесплатного SSL-сертификата стороннего производителя
[Новости] [Linux] [Windows XP] [Windows Vista] [Windows Server] [Windows 7] [Администрирование] [Сеть и интернет] [Безопасность] [Tricks & Tips] [Мультимедиа] [Железо] [Книги] [Проечее] 12:39:13, Пятница, 24 Сентября 2021 

|

Введение.

Статья Защита OWA 2003 с использованием собственного центра сертификации, которую я написал в начале 2004 года, стала одной из самых популярных на MSExchange.org (на данный момент за нее проголосовали 402 человека со средней оценкой 4.6). Это могло бы удовлетворить любого автора, но что скрывается за этим успехом? Одним из ответов будет то, что пользователи не хотят тратить сотни долларов на такие вещи как SSL-сертификат. Скорее всего, они потратят больше времени на защиту OWA-сайта, если это можно будет сделать бесплатно.

Пришло время написать еще одну статью о другом неплохом методе защиты OWA-сайта и виртуальных каталогов с помощью SSL. Я расскажу вам, как можно использовать бесплатный SSL-сертификат от стороннего производителя. Нет, я не говорю о жадных производителях 30-дневных пробных сертификатов вроде VeriSign и других. Не очень здорово использовать 30-дневные бесплатные версии сертификатов, зная, что затем придется платить от пятидесяти до нескольких сотен долларов в год, совсем не здорово.

Кто же предлагает бесплатные SSL-сертификаты? Хотите верьте, хотите нет, но это израильская компания Startcom Ltd., известная своей версией Linux (Startcom Linux). Эта компания уверена, что права на SSL-сертификат не должны зависеть от финансовых возможностей индивидуума и/или организации. Не могу с ними не согласиться.

В данной время сертификату от Starcom не доверяют такие браузеры как Internet Explorer, FireFox, Mozilla и др., но в настоящий момент такие производители как Microsoft и Mozilla проводят аудит Starcom, поэтому можно надеяться, что в ближайшем будущем эти браузеры будут доверять данному сертификату по умолчанию. Значит ли это, что я собираюсь обучать пользователей устанавливать сертификат вручную (или с использованием метода, описанного в бюллетене Microsoft 297681 - Появление сообщения об ошибке «Сертификат выдан организацией, не входящей в состав доверенных», для того чтобы не видеть предупреждающее сообщение о безопасности, показанное на рисунке 1? Нет, не значит.

Рисунок 1: Предупреждение сертификата безопасности.

К счастью, Startcom предлагает достаточно остроумное решение, которое автоматически устанавливает сертификат, а затем перенаправляет пользователей обратно на страницу форм аутентификации OWA-сайта (подробнее об этом позже).

Подготовка OWA-сервера.

Сначала на сервере Exchange запустите консоль управление IIS-сервера, раскройте узел Local Computer > Web Sites (Локальный компьютер > Web-сайты) и выберите Properties (Свойства) в записи Default Web Site (Web-сайт по умолчанию). Теперь выберите закладку Directory Security (Безопасность), и вы увидите окно, показанное на рисунке 2.

Замечание.

Если в вашей сети используется конфигурация с внешним/внутренним сервером, следует разрешать SSL только на внешнем сервере (серверах). Другими словами, в такой ситуации все описанные ниже процедуры следует производить только на внешнем сервере (серверах).

Рисунок 2: Закладка безопасности

Теперь нажмите кнопку Server Certificate (Сертификат сервера), выберите Create a new certificate (Создать новый сертификат), а затем нажмите Next (Далее), как показано на рисунке 3.

Рисунок 3: Создание нового сертификата

Выберите Prepare the request now, but send it later (подготовить запрос сейчас, но отослать его позже), затем нажмите Next (Далее) (Рисунок 4).

Рисунок 4: Отложить или отправить запрос немедленно

Введите описание для сертификата (например, OWA SSL Certificate), затем нажмите Next (Далее) (Рисунок 5).

Рисунок 5: Описание сертификата

Теперь введите название организации в поле Organization name (Название организации) и организационную единицу в поле Organizational unit (Организационная единица) (Рисунок 6), затем нажмите Next (Далее).

Рисунок 6: Организация и организационная единица

Теперь введите простое имя, которое должно быть внешним FQDN (Fully Qualified Domain Name – полностью определенное имя домена) вашего Exchange-сервера, т.е. адрес, который набирают пользователи для доступа к OWA-сайту через Интернет. Обычно простое имя имеет вид mail.domain.com, owa.domain.com или webmail.domain.com, А НЕ https://mail.domain.com, webmail.domain.com/exchange или IP-адрес. Может сложиться впечатление, что я слишком глубоко вникаю в детали, но вы не поверите, сколько проблем с OWA-сайтом возникало из-за неправильно указанного простого имени в SSL-сертификате. Так что на всякий случай лучше объяснить все подробно.

Замечание.

Поскольку многие (особенно маленькие и средние) организации не публикуют Exchange-сервер напрямую в Интернет, а используют частный IP-адрес, они отдают управление внешними настройками DNS своему провайдеру. В большинстве случает провайдер создает так называемую A запись с именем mail.domain.com, которое указывает на внешний IP-адрес компании, а затем запросы направляются по 443-му порту на внутренний IP-адрес сервера Exchange.

После ввода простого имени в поле Common Name (Простое имя) (рисунок 7) нажмите Next (Далее).

Рисунок 7: Простое имя OWA-сервера

Введите Регион/Страну, Штат/Область и Город/Населенный пункт и нажмите Next (Далее).

Рисунок 8: Географическая информация

Укажите место расположения и имя файла, в котором вы хотите сохранить информацию о сертификате, а затем нажмите Next (Далее) (эту информацию затем нужно будет скопировать в форму на сайте Startcom).

Рисунок 9

Нажмите Next (Далее), затем Finish (Завершить).

Запрос сертификата у Startcom.

Настало время получить сертификат от Startcom. Первое, что следует сделать, это открыть файл certreg.txt и скопировать его содержимое в буфер обмена, затем щелкните по этой ссылке для запуска Мастера сертификатов. Выберите Class 1 Certificate (Сертификат 1 класса) и нажмите Continue (Продолжить). Поскольку мы собираемся использовать сертификат на web-сервере IIS, выберите опцию Server Certificate (Without CSR generation) (Сертификат сервера (без генерации запроса подписи сертификата)), затем нажмите Continue (Продолжить). Теперь заполните форму персональной информации и нажмите Continue (Продолжить).

Замечание. Очень важно, чтобы во время регистрации вы использовали настоящий адрес электронной почты, к которому у вас есть постоянный доступ. Тоже самое относится и к вашему имени, адресу и т.д. Если этого не сделать, то в худшем случае ваш IP-адрес и домен будут блокированы сайтом Startcom.

Следует вставить текст из файла certreg.txt в форму в конце страницы, а затем снова нажать Continue (Продолжить). После выполнения запроса (это займет пару секунд) выберите один из указанных адресов электронной почты (требуется для получения кода подтверждения, который нужно ввести после нажатия кнопки Continue (Продолжить)). Если ни один из этих адресов не существует в Active Directory вашей сети, создайте его и затем нажмите Continue (Продолжить). Введите полученный код подтверждения (если код не получен, проверьте фильтры нежелательной почты вашей сети) и нажмите Continue (Продолжить). Теперь вставьте текст из формы в файл (дайте ему имя SSL.CRT или что-нибудь подобное) и сохраните его на диске C:\ сервера OWA и нажмите Continue (Продолжить). Теперь вы можете подтвердить сертификат и установить центр сертификации и промежуточный центр (требуется для IIS). Обратите внимание, что, если вы не запускали мастер сертификата из браузера на сервере OWA, вы можете пропустить эти шаги и сделать позже все вручную.

Запуск отложенного запроса.

Возвращаемся на OWA-сервер, открываем консоль управление IIS-сервера (если вы ее закрыли), затем раскрываем и щелкаем правой кнопкой на Default Web Site (Web-сайт по умолчанию). Выберите закладку Directory Security (Безопасность), затем нажмите Server Certificate (Сертификат сервера) > Next (Далее), выберите пункт Process the pending request and install the certificate (Запустить отложенный запрос и установить сертификат) и нажмите Next (Далее) (Рисунок 10).

Рисунок 10: Запуск отложенного запроса

Введите путь к файлу SSL.CRT, содержащему сертификат (путь должен быть C:\ssl.crt, если только вы не указали другой), затем нажмите Next (Далее) > примите установки SSL порта по умолчанию (SSL port (443)) и нажмите Next (Далее) (интересно, сколько раз мы уже нажали Next и Continue?). Теперь подтвердите сводный сертификат, нажмите Next (Далее), затем Finish (Завершить).

Прежде чем разрешить SSL-сертификат на web-сайте по умолчанию, следует сделать еще одну процедуру, но только в том случае, если вы не запускали мастер сертификата Startcom на сервере OWA, и потому установили сертификаты центра сертификации и промежуточного центра в хранилище Trusted Root Certification Authorities (Доверенные корневые центры сертификации).

Откройте пустую консоль MMC на OWA-сервере: нажмите Start (Пуск) > Run (Выполнить), введите MMC и нажмите Enter. Затем в меню выберите File (Консоль) > Add/Remove Snap-in (Добавить/удалить оснастку), нажмите Add (Добавить) и выберите Certificates (сертификаты) (Рисунок 11).

Рисунок 11: Добавление оснастки Сертификаты

Выберите Computer Account (Учетная запись компьютера), затем Local Computer (Локальный компьютер), нажмите Next (Далее) > Close (Закрыть) и Ok.

Рисунок 12: Выбор учетной записи компьютера

Теперь раскройте Trusted Root Certification Authorities (Доверенные корневые центры сертификации) > Certificates (Сертификаты) и щелкните левой кнопкой по контейнеру Certificates (Сертификаты). Выберите All tasks (Все задачи) > Import (Импорт) (Рисунок 13).

Рисунок 13: Импорт сертификата в Доверенные корневые центры сертификации

Появится окно мастера сертификатов. Нажмите Next (Далее), затем укажите путь к файлу CA.СER (Рисунок 14) и снова нажмите Next (Далее).

Рисунок 14: Путь к файлу CA.СER

Подтвердите хранение сертификата в Trusted Root Certification Authorities (Доверенные корневые центры сертификации) (Рисунок 15), нажмите Next (Далее), затем Finish (Завершить) > OK.

Рисунок 15: Хранилище сертификатов

Теперь проделайте то же самое для сертификата sub.class1.server.ca.cer, и для сертификата собственного сервера OWA (SSL-CRT). Все сертификаты добавлены в хранилище, как показано на рисунках 16, 17 и 18.

Рисунок 16: Бесплатный центр сертификации SSL

Рисунок 17: Центр сертификации Startcom

Рисунок 18: Сертификат сервера Exchange

Разрешение SSL на web-сайте по умолчанию.

Для разрешения SSL на web-сайте по умолчанию откройте консоль управления IIS и выберите Properties (Свойства) в записи Default Web Site (Web-сайт по умолчанию). Теперь выберите закладку Directory Security (Безопасность) и в разделе Secure Communications (Безопасные соединения) нажмите кнопку Edit (Изменить) (Рисунок 19).

Замечание.

В зависимости от вашего сервера Exchange (один сервер или конфигурация с внешним/внутренним сервером), так же как и от существования не относящихся к Exchange-серверу виртуальных каталогов на web-сайте по умолчанию, можно разрешить SSL на виртуальных каталогах Exchange и Public, а не на всем сайте. Также учтите, что разрешение SSL на web-сайте по умолчанию может привести к проблемам с OMA (Outlook Mobile Access – мобильный доступ к Outlook) и ActiveSync. Для детального изучения этой проблемы смотри статью 817379 -Появление сообщений об ошибках при подключении к серверу Exchange Server 2003 с помощью Exchange ActiveSync или Outlook Mobile Access, если для подключения требуется протокол SSL или проверка подлинности на основе форм.

Рисунок 19: Кнопка Edit (Изменить)

Отметьте опции Require secure channel (SSL) (Требовать безопасный канал (SSL)) и Require 128-bit encryption (Требовать 128-битное шифрование) (Рисунок 20), поскольку большинство современных web-браузеров поддерживают 128-битное шифрование.

Рисунок 20: Разрешение требования безопасного канала SSL и 128-битного шифрования

Дважды нажмите Ok и закройте консоль управлении IIS. Теперь мы рассмотрим клиентскую сторону для того, чтобы убедиться, что SSL-соединение с OWA-сайтом работает правильно.

Работаем со стороны клиента.

Настало время зайти на наш OWA-сайт, защищенный SSL, набрав в браузере: https://mail.exchangedogfood.dk/exchange. Как вы можете догадаться, мы получаем предупреждающее сообщение о безопасности, показанное на рисунке 1. Причина этого, как вы помните, в том, что сертификат, выданный Startcom, по умолчанию не является доверенным для популярных браузеров, таких как Internet Explorer, FireFox, Mozilla и других. Это значит, что для того, чтобы избавиться от предупреждающего сообщения, следует установить сертификат каждому клиенту, который будет заходить на OWA-сайт. Ранее в статье я вскользь упомянул о том, что Starcom создал интересный сайт, на который вы можете сделать ссылку, например, на странице с формой аутентификации сайта OWA 2003. Если вы это сделаете, пользователи просто будут щелкать по этой ссылке для установки сертификата, а затем, после установки сертификата, они будут автоматически перенаправлены обратно на страницу регистрации. (Примерная страница показана на рисунке 21).

Замечание.

Если вы не знаете, как изменить страницу с формой аутентификации, просмотрите ссылки в разделе Статьи по данной теме в конце этой статьи.

 

Рисунок 21: Страница ввода учетных данных OWA-сайта с ссылкой на установку сертификата Startcom.

При нажатии на логотип Startcom, что приведет на сайт http://cert.startcom.org/index.php?app=109 (без использования нового окна), вы, в зависимости от того, установлена ли у клиента Windows XP SP2, получите пару предупреждений. С ними следует соглашаться до тех пор, пока не появится диалоговое окно, показанное на рисунке 22. После нажатия OK вы будете перенаправлены назад на страницу с формой аутентификации, и в будущем больше не будете получать предупреждений о безопасности.

Рисунок 22: Заключительное диалоговое окно

Резюме.

Зачем разрешать сторонним производителям вроде многомиллионных компаний VeriSign, RapidSSL, InstantSSL, Entrust и др. брать несколько сотен долларов в год за предоставление простого сертификата? И еще – разве это честно, называть 30-дневный сертификат бесплатным? Не думаю.

Настало время изменить рынок и поддержать такие компании как Startcom, чтобы действительно бесплатные сертификаты поддерживались такими браузерами, как Internet Explorer, FireFox, Mozilla, Opera и др.

Статьи по данной теме.

Сайт бесплатного SSL-проекта компанииStartcom: http://cert.startcom.org

Изменение станицы аутентификации на основе форм OWA 2003: http://www.msexchange.org/tutorials/Customizing-OWA-2003-Forms-Based-Authentication-Logon.html

Изменение страницы ввода учетных записей OWA-сайта: http://www.microsoft.com/technet/prodtechnol/exchange/guides/CustomizingOWALogonPa/720b0cd2-fb9a-4538-ab6f-681353315582.mspx



Категория: Администрирование
Источник: msexchange.org Опубликовал: Feeder, Дата: 7.12.2006, Просмотров сегодня: 22, Просмотров всего: 30746, Рейтинг: 2.40 (Проголосовало: 10) Теги:

Расскажи друзьям:


Еще статьи на угад:
Загрузочная флэшка и восстановление системы.
Защита OWA 2003 с использованием бесплатного SSL-сертификата стороннего производителя
Установка Windows XP по сети. RIS, но не Microsoft.
Сервер ISA 2006 глазами хакера: Часть 1 – Внешние атаки
Двойная загрузка Windows Vista и XP (Windows Vista установлена первой)
Как работают программы восстановления данных.
Сервер ISA 2006 глазами хакера: Часть 2 – Внутренние атаки

Ваши комментарии:
CarolynHig, carolynhuh[at]ar-vids.com в 24.9.2021 07:58:15
<a href=https://rodrigoklklsman.alclip.info/dT1pEqr66CM-restaurando-la-moto-que-recupere-despu%C3%A9s-de-2-a%C3%B1os-1-3.html><img src="https://i.ytimg.com/vi/dT1pEqr66CM/hqdefault.jpg"></a>

Restaurando <a href=https://rodrigoklklsman.alclip.info/dT1pEqr66CM-restaurando-la-moto-que-recupere-despu%C3%A9s-de-2-a%C3%B1os-1-3.html>la</a> moto que Recupere despuГ©s de 2 aГ±os 1/3
ramboTib, mitolottos[at]gazeta.pl в 24.9.2021 00:16:53
https://yourcommunity.tescobank.com/threads/13781-hello-how-can-i-solve-this-problem?p=42244


https://readthedocs.org/projects/psn-codes-free-20212022/


Always read up on a video game title before you invest your hard-earned money in it! It can be tough to wade through the sea of biased reviews that spring up around any popular video game, but you may uncover important information that has an impact on your buying decision. Have a little patience and figure out if the game in question is really worth your time and money.

If you are concerned with anyone in your home doing too much sedentary video gaming time, get them to include more active video gaming hours. Hardware and titles now exist where video gamers can play various sports, dance, practice balance and agility and even strength train. These all make for good activity on rainy or dark days.

Be especially careful about guarding your personal information in the realm of online video games. Popular games make popular targets for hackers and scammers. Never give out login info or personal data to other players. It's a good idea to use a unique username and password for games and game services; don't re-use login information from your email or other online accounts.

Try to restrain your major gaming to only one kind of machine. Buying all the major consoles plus a gaming-worthy personal computer can cost up to thousands, just in hardware. Yet, most big titles will be available on almost all of them. Choose one platform to stick with for savings.

Keep your console or computer cool. Whether you game on one of the major consoles or on your home computer, heat is the enemy of every system. The complex graphics in today's game cause the video cards and processors in gaming systems to run at very high temperatures, and when this heat builds up too high, it can lead to failure. Always keep your system in a location where air circulate around it, and never cover the fan ports.

There, don't you feel like you know a ton about being a better gamer now? All it takes to learn is a little effort on your part, and you'll find that knowledge goes a long way. Keep learning, keep playing and you'll find that your gaming becomes better day by day.


Free PSN Card Codes That Work 2022
Free PSN Codes List Unused 2022
PSN Free Codes List 2022
Free PSN Codes List
ramboTib, mitolottos[at]gazeta.pl в 24.9.2021 00:06:52
https://negd.gov.in/node/16?page=181#comment-141678


https://www.google.com.ph/url?q=https://americanperimetertrailproject.weebly.com/


Always read up on a video game title before you invest your hard-earned money in it! It can be tough to wade through the sea of biased reviews that spring up around any popular video game, but you may uncover important information that has an impact on your buying decision. Have a little patience and figure out if the game in question is really worth your time and money.

If you are concerned with anyone in your home doing too much sedentary video gaming time, get them to include more active video gaming hours. Hardware and titles now exist where video gamers can play various sports, dance, practice balance and agility and even strength train. These all make for good activity on rainy or dark days.

Be especially careful about guarding your personal information in the realm of online video games. Popular games make popular targets for hackers and scammers. Never give out login info or personal data to other players. It's a good idea to use a unique username and password for games and game services; don't re-use login information from your email or other online accounts.

Try to restrain your major gaming to only one kind of machine. Buying all the major consoles plus a gaming-worthy personal computer can cost up to thousands, just in hardware. Yet, most big titles will be available on almost all of them. Choose one platform to stick with for savings.

Keep your console or computer cool. Whether you game on one of the major consoles or on your home computer, heat is the enemy of every system. The complex graphics in today's game cause the video cards and processors in gaming systems to run at very high temperatures, and when this heat builds up too high, it can lead to failure. Always keep your system in a location where air circulate around it, and never cover the fan ports.

There, don't you feel like you know a ton about being a better gamer now? All it takes to learn is a little effort on your part, and you'll find that knowledge goes a long way. Keep learning, keep playing and you'll find that your gaming becomes better day by day.


Free PSN Codes No Surveys Or Downloads 2022
Free PSN Codes Generator 2022
Free PSN Codes List
How To Get Free PSN Codes Emailed To You
ramboTib, mitolottos[at]gazeta.pl в 23.9.2021 23:50:06
https://yourcommunity.tescobank.com/threads/13781-hello-how-can-i-solve-this-problem?p=42244


https://yourcommunity.tescobank.com/threads/13781-hello-how-can-i-solve-this-problem?p=42244


Always read up on a video game title before you invest your hard-earned money in it! It can be tough to wade through the sea of biased reviews that spring up around any popular video game, but you may uncover important information that has an impact on your buying decision. Have a little patience and figure out if the game in question is really worth your time and money.

If you are concerned with anyone in your home doing too much sedentary video gaming time, get them to include more active video gaming hours. Hardware and titles now exist where video gamers can play various sports, dance, practice balance and agility and even strength train. These all make for good activity on rainy or dark days.

Be especially careful about guarding your personal information in the realm of online video games. Popular games make popular targets for hackers and scammers. Never give out login info or personal data to other players. It's a good idea to use a unique username and password for games and game services; don't re-use login information from your email or other online accounts.

Try to restrain your major gaming to only one kind of machine. Buying all the major consoles plus a gaming-worthy personal computer can cost up to thousands, just in hardware. Yet, most big titles will be available on almost all of them. Choose one platform to stick with for savings.

Keep your console or computer cool. Whether you game on one of the major consoles or on your home computer, heat is the enemy of every system. The complex graphics in today's game cause the video cards and processors in gaming systems to run at very high temperatures, and when this heat builds up too high, it can lead to failure. Always keep your system in a location where air circulate around it, and never cover the fan ports.

There, don't you feel like you know a ton about being a better gamer now? All it takes to learn is a little effort on your part, and you'll find that knowledge goes a long way. Keep learning, keep playing and you'll find that your gaming becomes better day by day.


Free PSN Codes No Survey
PSN Redeem Codes Free No Surveys 2022
Free PSN Card Codes 2022
Free PSN Codes Hack
ramboTib, mitolottos[at]gazeta.pl в 23.9.2021 23:42:09
https://hillstone.zabezpieczenia.it/forum-root/temat/hello-how-can-i-solve-this-problem/#post-6743


https://www.hobowars.com/game/linker.php?url=http://americanperimetertrailproject.weebly.com/


Always read up on a video game title before you invest your hard-earned money in it! It can be tough to wade through the sea of biased reviews that spring up around any popular video game, but you may uncover important information that has an impact on your buying decision. Have a little patience and figure out if the game in question is really worth your time and money.

If you are concerned with anyone in your home doing too much sedentary video gaming time, get them to include more active video gaming hours. Hardware and titles now exist where video gamers can play various sports, dance, practice balance and agility and even strength train. These all make for good activity on rainy or dark days.

Be especially careful about guarding your personal information in the realm of online video games. Popular games make popular targets for hackers and scammers. Never give out login info or personal data to other players. It's a good idea to use a unique username and password for games and game services; don't re-use login information from your email or other online accounts.

Try to restrain your major gaming to only one kind of machine. Buying all the major consoles plus a gaming-worthy personal computer can cost up to thousands, just in hardware. Yet, most big titles will be available on almost all of them. Choose one platform to stick with for savings.

Keep your console or computer cool. Whether you game on one of the major consoles or on your home computer, heat is the enemy of every system. The complex graphics in today's game cause the video cards and processors in gaming systems to run at very high temperatures, and when this heat builds up too high, it can lead to failure. Always keep your system in a location where air circulate around it, and never cover the fan ports.

There, don't you feel like you know a ton about being a better gamer now? All it takes to learn is a little effort on your part, and you'll find that knowledge goes a long way. Keep learning, keep playing and you'll find that your gaming becomes better day by day.


Free PSN Codes 2022
PSN Free Codes List
Free PSN Promo Codes
How To Get Unbanned From PSN 2022
Добавить свое мнение о данной программе:
Имя
Email
Сообщение:
Введите символы:
вверх страницы

  Подпишитесь на лист рассылки и стань одним из 16421, кто узнает о новых программах по почте!!

 Введтите ваш e-mail:

Подписаться
Отписаться



© 1999 - 2021 Panva Web Studio
(0.05843 секунд) Написать письмо вебмастеру