Publish Outlook Web Access Exchange 2003 server qua ISA 2004 (Part I)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (381.86 KB, 9 trang )
Publish Outlook Web Access Exchange 2003
server qua ISA 2004 (Part I)
Trong bài viết này tôi xin giới thiệu với các bạn cách cấu hình Publish
OWA Exchange 2003 server qua ISA 2004 sử dụng Certificate service để
cho phép các remote user có thể truy cập đến OWA site qua phương thức
bảo mật mạnh SSL-To-SSL briged connections. SSL (Secure Sockets
Layer) Protocol là giao thức nằm ở lớp Transport (Layer) có khả năng mã
hoá dữ liệu truyền giữa client và server
SSL security hiện được xem là chuẩn cung cấp an toàn cho các remote
access đến Websites, ngoài ra Certificate còn dùng trong việc xác nhận các đối tượng tham gia
kết nối VPN bao gồm VPN clients và VPN servers.
Ta sẽ sử dụng Certificate service ở chế độ
Enterprise CA trong bài viết này, thế thì tại sao tôi lại
dùng Enterprise CA mà không dùng Standalone CA? tại vì khi chúng ta dùng Enterprise CA thì
chứng thực gốc của CA (Root CA certificate) được tự động đưa vào vùng lưu trữ certificate của
Trusted Root Certification Authorities (Certificate store) trên tất cả các thành viên trong Domain
khi dùng các giao dịch cần Certificate để nâng cao tính an toàn.
Chú ý: Chúng ta không nhất thiết phải dùng CA ở Enterprise mode, mà bạn cũng có thể cài ở chế
độ Standalone mode cũng được. Nhưng trong khuôn khổ bài này tôi sẽ không để cập đến
Standalone mode hay làm thế nào để xin Certificate từ một Standalone Mode.
Dưới đây là mô hình mà chúng ta thực hiện cấu hình.
Như ta thấy ở mô hình trên chúng ta có:
1 server đã install AD, DNS = msfirewall.org, Exchanger 2003 server (EXCHANGE2003BE).
1 server đã setup ISA 2004 (ISALOCAL).
1 OWA client (EXTCLIENT).
Các bước chi tiết cần phải cấu hình như sau.
- Tạo một Web Site Certificate tới OWA Web site
- Export OWA Web Site Certificate sử dụng Private Key
- Cấu hình OWA Site sử dụng phương thức mã hoá SSL và Basic Authentication
- Import OWA Web Site Certificate vào Certificate Store trên máy ISA
- Sử dụng Outlook Web Access Publishing Winzard và sửa HOSTS file trên ISA để truy vấn tới
địa chỉ OWA Website
- Gia tăng bảo mật bằng cách yêu cầu xác thực Certificate từ Client bằng Web Requests Listener
- Configure HOST file trên máy OWA client
- Connection OWA Web Site.
Sau đây chúng ta đi vào chi tiết cấu hình Step-by-Step các bước trên.
* Tạo một Web Site Certificate tới OWA Web site.
Việc thực hiện SSL to SSL bridging thì ISA firewall phải thiết lập 2 kết nối SSL sau
. Đầu tiên là kết nối giữa OWA client và ISA firewall
. Thứ hai là giữa ISA firewall và OWA Web site trên Internal network
Để hỗ trợ 2 kết nối giữa ISA firewall và OWA Web site ta phải yêu cầu 1 Web site certificate
cho OWA site.
Để yêu cầu Web site certificate cho OWA ta làm như sau:
+ Tại máy EXCHANGE2003BE, click Start chọn Administrative Tools, click Internet
Information Services(IIS) Manager.
+ Trên IIS manager click Web sites, chọn Default Web Site. Right click Default Web Site chọn
Properties.
+ Trên Default Web Site Properties dialog box, click Directory Security tab.
+ Trên Directory Security tab, click Server Certificate button trong khung Secure
communications.
+ Trên form Welcome to the Web Server Certificate Wizard click Next.
+ Trên form Server Certificate chọn Create a new certificate và click Next.
+ Tại form Delayed or Immediate Request chọn Send the request immediately to an online
certificate authority và click Next.
+ Tại form Name and Security Settings để mặc định và click Next.
+ Trên Organization Information điền tên tổ chức của bạn trong text box Organization và tên
Organizational Unit’s trong text box Organizational Unit và click Next
+ Trên form Your Site’s Common Name bạn nhập vào common name của site, common name
này để các user sử dụng truy cập vào OWA site. Ở bài này tôi dùng common name là
owa.msfirewall.org điền vào trong text box Common name (Nếu chúng ta không nhập đúng
common name này chúng ta sẽ nhìn thấy lỗi khi kết nối vào OWA site). Click Next
+ Trên form Geographical Information nhập vào text boxes Country/Region, State/province và
City/locality. Click Next
+ Trên form SSL Port chọn giá trị mặc định là 443 trong text box SSL port this web site should
use. Click Next.
+ Reveiw setting trên form Certificate Request Submission và click Next
+ Click Finish trên form Completing the Web Server Certificate Wizard
+ Chú ý ta chỉ setup Certificate thành công khi button View Certificate hiện lên.
+ Click OK trên dialog box Default Web Site Properties.
* Export OWA Web Site Certificate sử dụng Private Key.
ISA firewall đóng vai trò là OWA Web site khi OWA client thiết lập liên kết SSL đầu tiên giữa
bản thân nó và ISA firewall, để làm điều này chúng ta phải export OWA site's Web site
certificate và import Web site certificate đó vào trong certificate store trên máy ISA, sử dụng
private key.
Sau đây là các bước thực hiện công việc.
+ Vào IIS manager, chọn Web Sites sau đó right click Default Web Site và chọn Properties.
+ Sau đó chọn tab Directory Security, click View Certificate button trong khung Secure
communications.
+ Trong dialog box Certificate, click Details tab. Trên Details tab click Copy to File button.
+ Click Next trên form Welcome to the Certificate Export Wizard
+ Trên form Export Private Key chọn Yes, export the private key sau đó click Next
+ Tại form Export File Format chọn Personal Information Exchange – PKCS #12 (.PFX) và tích
vào check box Include all certificates in the certification path if possible và nhớ là bỏ chọn trong
checkbox Enable strong protection (requires IE 5.0, NT 4.0 SP4 or above), sau đó click Next
+ Trên form Password nhập vào password của bạn sau đó nhập lại tại trường Comfirm Password
và click Next
+Trong text box File name của form File to Export bạn nhập c:\owacert vào và click Next.
+ Sau đó click Finish trên form Completing the Certificate Export Wizard
+ Click OK trong dialog box Certificate
+ Click OK trong dialog box Default Web Site Properties
+ Copy file owacert.pfx vào trong ổ C:\ của máy ISA firewall
* Cấu hình OWA Site sử dụng phương thức mã hoá SSL và Basic Authentication
Chúng ta thực hiện các bước cấu hình như sau.
+ Click Start và trỏ tới Administrative Tools và click Internet Information Services. Trong IIS
manager click tên server sau đó là Default Web Site ta thấy bên trái có 3 thư mục OWA Web site
mà users truy cập từ xa là:
/Exchange
/ExchWeb
/Public
Chúng ta muốn cho ISA firewall luôn luôn đàm phán kết nối SSL khi giao tiếp giữa 3 thư mục
này và OWA client từ xa.
+ Right click Exchange rồi chọn Properties
+ Click vào tab Directory Security, trong khung Authentication and access control ta click vào
Edit
+ Trên dialog box Authentication Methods ta bỏ tất cả các lựa chọn loại trừ check box Basic
authentication ra, sau đó click Yes sau đó sẽ xuất hiện dialog box cảnh báo là đã sử dụng SSL.
Bạn nhập tên domain của bạn vào trong text box Default domain như trong bài này thì domain
name của tôi là MSFIREWALL. Click OK
