Publish Outlook Web Access Exchange 2003 server qua ISA
2004 (Part I)

Trong bài viết này tôi xin giới thiệu với các bạn cách
cấu hình Publish OWA Exchange 2003 server qua ISA
2004 sử dụng Certificate service để cho phép các
remote user có thể truy cập đến OWA site qua phương
thức bảo mật mạnh SSL-To-SSL briged connections.
SSL (Secure Sockets Layer) Protocol là giao thức nằm
ở lớp Transport (Layer) có khả năng mã hoá dữ liệu
truyền giữa client và server
SSL security hiện được xem là chuẩn cung cấp an toàn cho các remote

access đến Websites, ngoài ra Certificate còn dùng trong việc xác nhận

các đối tượng tham gia kết nối VPN bao gồm VPN clients và VPN

servers.
Ta sẽ sử dụng Certificate service ở chế độ Enterprise CA trong bài viết

này, thế thì tại sao tôi lại dùng Enterprise CA mà không dùng
Standalone CA? tại vì khi chúng ta dùng Enterprise CA thì chứng thực

gốc của CA (Root CA certificate) được tự động đưa vào vùng lưu tr
ữ
certificate của Trusted Root Certification Authorities (Certificate store)

trên tất cả các thành viên trong Domain khi dùng các giao dịch cần

Certificate để nâng cao tính an toàn.
Chú ý: Chúng ta không nhất thiết phải dùng CA ở Enterprise mode, mà

bạn cũng có thể cài ở chế độ Standalone mode cũng được. Nhưng

trong khuôn khổ bài này tôi sẽ không để cập đến Standalone mode
hay làm thế nào để xin Certificate từ một Standalone Mode.
Dưới đây là mô hình mà chúng ta thực hiện cấu hình.

Như ta thấy ở mô hình trên chúng ta có:
1 server đã install AD, DNS = msfirewall.org, Exchanger 2003 serve
r
(EXCHANGE2003BE).
1 server đã setup ISA 2004 (ISALOCAL).
1 OWA client (EXTCLIENT).
Các bước chi tiết cần phải cấu hình như sau.
- Tạo một Web Site Certificate tới OWA Web site
- Export OWA Web Site Certificate sử dụng Private Key
- Cấu hình OWA Site sử dụng phương thức mã hoá SSL và Basic

Authentication
- Import OWA Web Site Certificate vào Certificate Store trên máy ISA
- Sử dụng Outlook Web Access Publishing Winzard và sửa HOSTS file

trên ISA để truy vấn tới địa chỉ OWA Website
- Gia tăng bảo mật bằng cách yêu c
ầ
u xác thực Certificate từ Client

bằng Web Requests Listener
- Configure HOST file trên máy OWA client
- Connection OWA Web Site.

Sau đây chúng ta đi vào chi tiết cấu hình Step-by-Step các bước trên.
* Tạo một Web Site Certificate tới OWA Web site.
Việc thực hiện SSL to SSL bridging thì ISA firewall phải thiết lập 2 kết

nối SSL sau
. Đầu tiên là kết nối giữa OWA client và ISA firewall
. Thứ hai là giữa ISA firewall và OWA Web site trên Internal network
Để hỗ trợ 2 kết nối giữa ISA firewall và OWA Web site ta phải yêu c
ầ
u

1 Web site certificate cho OWA site.
Để yêu cầu Web site certificate cho OWA ta làm như sau:
+ Tại máy EXCHANGE2003BE, click Start chọn Administrative Tools,
click Internet Information Services(IIS) Manager.
+ Trên IIS manager click Web sites, chọn Default Web Site. Right click

Default Web Site chọn Properties.
+ Trên Default Web Site Properties dialog box, click Directory Security
tab.
+ Trên Directory Security tab, click Server Certificate button trong
khung Secure communications.
+ Trên form Welcome to the Web Server Certificate Wizard click Next.

+ Trên form Server Certificate chọn Create a new certificate và click

Next.
+ Tại form Delayed or Immediate Request chọn Send the request
immediately to an online certificate authority và click Next.
+ Tại form Name and Security Settings để mặc định và click Next.

+ Trên Organization Information điền tên tổ chức của bạn trong text

box Organization và tên Organizational Unit’s trong text box
Organizational Unit và click Next
+ Trên form Your Site’s Common Name bạn nhập vào common name

của site, common name này để các user sử dụng truy cập vào OWA

site. Ở bài này tôi dùng common name là owa.msfirewall.org điền vào

trong text box Common name (Nếu chúng ta không nhập đúng

common name này chúng ta sẽ nhìn thấy lỗi khi kết nối vào OWA

site). Click Next

+ Trên form Geographical Information nhập vào text boxes

Country/Region, State/province và City/locality. Click Next
+ Trên form SSL Port chọn giá trị mặc định là 443 trong text box SS
L
port this web site should use. Click Next.
+ Reveiw setting trên form Certificate Request Submission và click
Next
+ Click Finish trên form Completing the Web Server Certificate Wizard

+ Chú ý ta chỉ setup Certificate thành công khi button View Certificate

hiện lên.
+ Click OK trên dialog box Default Web Site Properties.

* Export OWA Web Site Certificate sử dụng Private Key.
ISA firewall đóng vai trò là OWA Web site khi OWA client thiết lập liên

kết SSL đầu tiên giữa bản thân nó và ISA firewall, để làm điều này

chúng ta phải export OWA site's Web site certificate và import Web

site certificate đó vào trong certificate store trên máy ISA, sử dụng

private key.
Sau đây là các bước thực hiện công việc.
+ Vào IIS manager, chọn Web Sites sau đó right click Default Web Site

và chọn Properties.
+ Sau đó chọn tab Directory Security, click View Certificate button
trong khung Secure communications.
+ Trong dialog box Certificate, click Details tab. Trên Details tab click
Copy to File button.
+ Click Next trên form Welcome to the Certificate Export Wizard
+ Trên form Export Private Key chọn Yes, export the private key sau

đó click Next

+ Tại form Export File Format chọn Personal Information Exchange –
PKCS #12 (.PFX) và tích vào check box Include all certificates in the

certification path if possible và nhớ là bỏ chọn trong checkbox Enable

strong protection (requires IE 5.0, NT 4.0 SP4 or above), sau đó click
Next

+ Trên form Password nhập vào password của bạn sau đó nhập lại tại

trường Comfirm Password và click Next
+Trong text box File name của form File to Export bạn nhập
c:\owacert vào và click Next.
+ Sau đó click Finish trên form Completing the Certificate Export

Wizard
+ Click OK trong dialog box Certificate
+ Click OK trong dialog box Default Web Site Properties
+ Copy file owacert.pfx vào trong ổ C:\ của máy ISA firewall

* Cấu hình OWA Site sử dụng phương thức mã hoá SSL và Basic

Authentication
Chúng ta thực hiện các bước cấu hình như sau.
+ Click Start và trỏ tới Administrative Tools và click Internet

Information Services. Trong IIS manager click tên server sau đó là
Default Web Site ta thấy bên trái có 3 thư mục OWA Web site mà

users truy cập từ xa là:
/
Exchange
/
ExchWeb
/
Public
Chúng ta muốn cho ISA firewall luôn luôn đàm phán kết nối SSL khi


giao tiếp giữa 3 thư mục này và OWA client từ xa.
+ Right click Exchange rồi chọn Properties
+ Click vào tab Directory Security, trong khung Authentication and
access control ta click vào Edit
+ Trên dialog box Authentication Methods ta bỏ tất cả các lựa chọn

loại trừ check box Basic authentication ra, sau đó click Yes sau đó sẽ
xuất hiện dialog box cảnh báo là đã sử dụng SSL. Bạn nhập tên

domain của bạn vào trong text box Default domain như trong bài này
thì domain name của tôi là MSFIREWALL. Click OK

+ Click Apply sau đó click OK trong dialog box Exchange Properties
Sau đó chúng ta lặp lại những bước tương tự với /Exchweb và /Public

và đóng IIS manager sau khi ta đã thực hiện thiết lập basic

authentication trên Exchange, Exchweb và Public
Bước tiếp theo chúng ta thực hiện cấu h
ì
nh ISA firewall Web proxy

filter sử dụng SSL khi kết nối tới OWA directory
+ Click Start, trỏ tới Administrative Tools và click Internet Information

Services, click vào server name rồi chọn Defauft Web Site.
+ Sau đó right click vào Exchange chọn Properties
+ Chọn tab Directory Security và click Edit button trong khung Secure
communications
+ Trong dialog box Secure Communications tích vào check box


Require secure channel (SSL) và Require 128-bit encryption, sau đó

click OK

+ Click Apply sau đó click OK trong dialog box Exchange Properties
Làm lại những bước này với /Exchweb và /Public sau đó close IIS

manager lại
* Import OWA Web Site Certificate vào Certificate Store trên máy ISA
Web site certificate phải được import vào certificate store trên máy ISA

firewall trước khi sử dụng Web listener cho phép kết nối từ xa vào

OWA site.
Dưới đây là các bước thực hiện import certificate
+ Tại máy ISA click Start sau đó chọn Run và nhập lệnh mmc rồi enter

+ Trong Console 1 chọn file menu và click Add/Remove Snap-in
+ Click Add buuton trên dialog box Add/Remove Snap-in
+ Click Certificates sau đó click Add
+ Chọn Computer account trên form Certificates snap-in click Next
+ Trên form Select Computer chọn Local computer sau đó click Finish

+ Close Add Standalone snap-in và click OK trong dialog box

Add/Remove Snap-in
+ Right click vào Personal trỏ tới All Task và click Import.
+ Click Next trên form Wellcome to the Certificate Import Winzard
+ Click Browse button và chỉ đến đường dẫn ta đã paste file


owacert.pfx
+ Click Next sau khi đã xuất hiện tên và đường dẫn của certificate file

trong text box File Name

+ Trên form Password nhập vào password của file. Không tích chọn

Mark this key as exportable. This will allow you to back up or transport
you keys at a late time sau đó click Next
+ Trên form Certificate store kiểm tra xem đã chọn Place all certificate

in the follow store sau đó click Next
+ Sau đó sẽ là form review lại các thiết lập và click Finish
+ Click OK sau khi có thông báo bạn đã Import thành công
+ Sau đó chúng ta sẽ nhìn thấy CA Certificate xuất hiện

Tiếp theo ta kiểm tra xem CA này đã xuất hiện trong Trusted Root

Certification Authorities\Certificates. Khi chúng ta sử dụng Enterprise

CA nó sẽ tự động được đưa vào Trusted Root Certification
Authorities\Certificates. Còn nếu chúng ta sử dụng Standalone CA th
ì
nó sẽ không tự động đưa vào Trusted Root Certification
Authorities\Certificates mà chúng ta phải copy và paste chúng vào đó

Trong phần II của bài viết này toi sẽ tiếp tục giới thiệu với các bạn cấu

hình hoàn thiện nốt các bước còn lại trong qua trình Public OWA.

- Sử dụng Outlook Web Access Publishing Winzard và sửa HOSTS file

trên ISA để truy vấn tới địa chỉ OWA Website
- Gia tăng bảo mật bằng cách yêu c
ầ
u xác thực Certificate từ Client

bằng Web Requests Listener
- Configure HOST file trên máy OWA client
- Connection OWA Web Site.
