Меню

Настройка https для owa



/AlexxHost/

Вы попали на блог, целиком и полностью посвященный продуктам компании Microsoft. В основном речь будет идти про системы корпоративных коммуникаций на базе Exchange Server.

пятница, 3 декабря 2010 г.

Редирект OWA в Exchange 2010

UPD1: Исправлена неточность в редактировании прослушивателя на TMG (рис.3)

Как известно, в Exchange 2010 сайт Outlook Web App расположен по URL-адреса https://YourCAS/owa . В связи с этим, возникает по крайней мере два неудобства: надо руками набирать https и необходимо указывать виртуальный каталог OWA. Было бы гораздо удобнее в браузере просто написать адрес своего постового сервера и автоматом попасть на нужную страничку.

Для того, чтобы служба IIS перенаправила запрос, пришедший на корневой адрес, в тот виртуальный каталог, который вам необходим, нужно сделать следующее:

  • Перейти в раздел DefaultWebSite;
  • Открыть опцию HTTPRedirect;
  • Поставить галочку “Redirect request to this destination:” и указать ваш адресOWA;
  • Далее, нужно не забыть поставить галочку “Onlyredirectrequesttocontent …(not subdirectories)”;

После того, как все вышеописанное будет сделано, необходимо убрать требование использовать SSL, чтобы мы могли обращаться на HTTP-адрес. Для этого идем в опцию SSL Settings и убираем галочку Require SSL.

На этом настройки завершены, теперь можно подключаться к OWA по адресу http://YourCAS.

Важно!

Если у вас все заработало, то нужно вспомнить, что мы внесли изменения в корневой каталог IIS`a, следовательно, нужно проверить, а не унаследовались ли эти изменения в других виртуальных каталогах.

Обратите внимание, что для каталогов Exchange, Exchweb и Public virtual должно быть установлено перенаправление HTTP на адрес /owa, всем остальным перенаправление по умолчанию не требуется. При этом требование проверки SSL должно быть установлено у всех каталогов, кроме OAB и PowerShell.

Подробнее про дефолтные настройки виртуальных каталогов для серверов Exchange 2007/2010 можно почитать в одном из прошлых моих постов — Виртуальные каталоги Exchange 2007/2010 – настройки по умолчанию.

Редирект OWA на ISA / TMG

С локальными подключениями разобрались, а что же делать с внешними? Если у вас Outlook Web App опубликован в сеть Интернет через шлюз на базе Microsoft Internet Security and Acceleration Server 2006 (ISA) или Threat Management Gateway (TMG), то здесь для настройки переадресации тоже есть достаточно красивое решение.

Для начала нужно дублировать правило публикации OWA. Для этого нажимаем на нем правой кнопкой – Копировать, затем – Вставить. В результате появляется ещё одно точно такое же правило, но с циферкой (1). Теперь переименовываем его, например в OWA-Redirect и редактируем.

Примечание: Почему нельзя просто отредактировать имеющееся? Да просто потому, что, во-первых им кто-то может воспользоваться, а во-вторых оно нам понадобится.

Вносим следующие изменения:

1. На вкладке Action переключаем действие в Deny, в результате становится доступной галочка Redirect HTTP request to this Web page, её необходимо поставить и вписать тот адрес, на котором действительно опубликован Outlook Web App, в моем случае это https://mail.alexxhost.ru/owa

Рис.1: Настройка адреса для перенаправление запросов.

В результате мы сделали так, что все запросы будут пересылаться на «правильный» адрес. Теперь необходимо определиться какие именно запросы мы будем пересылать.

2. Переходим на вкладку Paths, и здесь удаляем все пути, которые остались от прошлого правила. Взамен оставляем лишь один корневой / , как показано на рис.2.:

Рис.2: Редактируем пути.

В результате правило будет обрабатывать все запросы, приходящие «в корень» нашего сайта, в моем случае это будут запросы на mail.alexxhost.ru.

На этом шаге настройку в принципе можно закончить, но для совсем ленивых, т.е. для тех кто не хочет набирать HTTPS, нужно сделать ещё одну ремарку.

Читайте также:  Digi sm 300 настройка времени

3. Открываем свойства прослушивателя и на вкладке Connections ставим переключатель на пункте Redirect authenticated traffic from HTTP to HTTPS.

Рис. 3: Редактируем перенаправление HTTP трафика в HTTPS.

Источник

Настройка https для owa

С помощью ISA 2006 вы можете опубликовать Web сервер двумя способами:

  • Публикация с использованием правил публикации сервера (Server publishing)
  • Публикация с использованием правил публикации Web-сервера (Web publishing)

Публикация с использованием правил публикации Web-сервера (Web publishing) является рекомендуемым методом для публикации HTTP или HTTPS с использованием ISA Server, включая Microsoft Outlook Web Access сервер. Web publishing обеспечивают ряд преимуществ по сравнению с Server publishing, в том числе возможность для расшифровки и проверки HTTPS трафика до передачи его на публикуемый Web-сервер, кэширование ответов от опубликованных Web-серверов, аутентификация клиента на ISA Server и фильтрация слоя веб-приложений для проверки HTTP и HTTPS трафика, прежде чем пропустить его в сети охраняемые ISA Server.

В этой статье я расскажу о том, как настроить публикацию OWA Exchange 2007 с использованием ISA 2006 и Web publishing.

Web-публикация через HTTPS соединение

При использовании безопасного правила Web-публикации для публикации внутреннего Web-сервера через ISA Server, клиентские запросы для Web-сервера прибывают на компьютер ISA Server через подключение HTTPS , а тот в свою очередь перенаправляет их на опубликованный Web-сервер.

Имеются несколько вариантов перенаправления:

  • Перенаправление HTTPS запросов к Web-серверу опубликованному по HTTP . В этом случае, ISA Server проводит аутентификацию клиента с помощью запроса сертификата. SSL сертификат требуется только на ISA Server.
  • Перенаправление HTTPS запросов к Web-серверу опубликованному по HTTPS . Это еще более безопасная конфигурация, которая сохраняет HTTPS соединение от клиента до и ISA и от ISA к опубликованному Web-серверу. В этом случае, ISA сервер проводит аутентификацию клиента с помощью сертификата, а также проводит аутентификацию опубликованного Web-сервера тоже с использованием сертификата. Сертификат потребуется на обоих ISA сервере и опубликованном Web-сервере.

Есть ряд моментов, которые необходимо учитывать при получении, установке и настройке сертификатов:

  • Для проверки подлинности внешних клиентов ISA сервер, как правило использует сертификат центра сертификации (CA). Так как Internet Information Services (IIS) обычно не устанавливается на ISA сервер, то запросить и установить сертификат необходимо на том Web-сервере, который вы намерены опубликовать, а затем экспортировать этот сертификат в ISA сервер. В настоящее время не существует способа, чтобы запросить сертификат для ISA сервера напрямую в CA. Для получения подробной информации о получении и настройки сертификатов, можете почитать на сайте Microsoft тут — Цифровые сертификаты для ISA Server 2004 . Информация в этом документе также относится и к ISA 2006.
  • Когда вы указываете (Common Name — CN) имя в запросе сертификата, необходимо следовать определенным правилам именования:
    • Имя сертификата на ISA сервере должно совпадать с именем, которое внешние клиенты будут указывать в браузере, чтобы достичь опубликованного Web-сервера. Это ограничение не применяется, если вы используете групповой сертификат. ISA Server 2004 поддерживает использование групповых сертификатов (wildcard certificates) только на Web прослушиватель (Web Listner). Использование групповых сертификатов на бэкэнд Web-сервер не поддерживается. Однако эта конфигурация уже поддерживается в ISA Server 2006. В групповом сертификате будет указан подстановочный знак в CN имени, например, *. internal.net. Это означает, что любое имя хоста в internal.net домене будет доступно для запроса клиента, например, клиент может запросить адреса owa.internal.net и www.internal.net. Обе просьбы соответствуют групповому сертификату. ISA сервер позволяет связать только один сертификат с Web прослушивателем (Web Listner). Групповые сертификаты могут быть полезным средством для публикации нескольких безопасных веб-узлов с использованием одного IP адреса. Более подробно о настройке групповых сертификатов в ISA Server 2004 можно прочитать в разделе Публикация нескольких веб-узлов с помощью шаблонов сертификатов в ISA Server 2004 (www.microsoft.com).
    • В сценарии перенаправления HTTPS запросов к Web-серверу опубликованному по HTTPS (сертификаты требуются как на ISA Server, так и на опубликованном Web-сервере), имя сертификата в IIS на сайте публикуемого Web-сервера должно совпадать с именем, под которым ISA Server определяет Web-сервер. (Это имя, указывается на вкладке Куда (To) правила Web-публикации на ISA сервере.)
  • Между созданием запроса сертификата и установкой сертификата, не стоит делать следующее:
    • Изменять имя компьютера или привязки Web-сайта.
    • Изменять уровни шифрования (применять пакет строгого шифрования).
    • Удалять запросы «в ожидании» на сертификат.
    • Изменять любые свойства безопасного Web-узлов.
  • При экспорте сертификата с Web-сервера для импорта на ISA Server, вы также должны экспортировать и закрытый ключ. В мастере экспорта сертификатов на Web-сервере, если вы не выберите пункт — Да, экспортировать закрытый ключ (Yes, export the private key), вы не сможете связать сертификат с веб-прослушивателем, когда будете создавать правило публикации веб на ISA сервере.
  • При экспорте файла сертификата с Web-сервера для импорта на компьютере ISA, выберите параметр Включить все сертификаты в пути сертификации, если это возможно (Include all certificates in the certification path if possible) . Эта функция позволяет включить в экспорт, как сертификат Web-сайта, так и все сертификаты в иерархии CA.
  • Сертификаты должны быть импортированы для учетной записи компьютера (Local Computer) и хранится в личном хранилище (Personal) сертификатов на компьютере ISA Server.
  • В сценарии перенаправления HTTPS запросов к Web-серверу опубликованному по HTTPS (сертификаты требуются как на ISA Server, так и на опубликованном Web-сервере), вы можете оставить копию сертификата экспортируемого на ISA Server на Web-сервере. В этом случае этот же сертификат используется для проверки подлинности ISA Server для внешних клиентов, и внутреннего Web-сервера на ISA сервере. Если вы решите использовать один и тот же сертификат на ISA сервере и опубликованном Web-сервере, необходимо убедиться, что имя сертификата настроено правильно. Название сертификата должно соответствовать имени, которое внешние пользователи будут указывать чтобы достичь опубликованного сайта (имя на вкладке Внешнее Имя (Public Name) правила Web-публикации), а также имени, под которым ISA Server ссылается на внутренний Web-сервер (имя на вкладке Куда (To) правила Web-публикации).
  • Клиенты должны доверять предоставленным SSL сертификатам сервера. Сертификаты сервера являются доверенными для браузеров клиентов в том случае, если корневой сертификат Центра Сертификации (CA), выпустивший сертификат, присутствует в хранилище Доверенных корневых центров сертификации (Trusted Root Certification Authorities) на компьютере клиента. Проверьте:
    • Внешние клиенты должны доверять SSL сертификату, который предоставил ISA сервер для авторизации себя на этих внешних клиентах.
    • В сценарии перенаправления HTTPS запросов к Web-серверу опубликованному по HTTPS, ISA сервер должен доверять Центру Сертификации (CA), который выдал сертифкат для использования опубликованным Web-сервером для авторизации на ISA сервере. Если это сертификат выдал внутренний Корпоративный Центр Сертификации (enterprise CA), ISA сервер принадлежит тому же домену что и Корпоративный Центр Сертификации (enterprise CA), то сертификат Корневого Центр Сертификации (root CA) будет автоматически установлен на ISA сервер в хранилище Доверенных корневых центров сертификации (Trusted Root Certification Authorities). Если вы получили сертификат для Web-сервера от внутреннего Обособленнного Центр Сертификации (stand-alone CA) или ваш ISA сервер не в том же домене, что Корпоративный Центр Сертификации (enterprise CA), то вы должны установить корневой сертификат Центра Сертификации на ISA сервер в хранилище Доверенных корневых центров сертификации (Trusted Root Certification Authorities).
    • Если внутренние сертификаты выдаются Корпоративным Центром Сертификации (enterprise CA), Служба Сертификации, ISA сервер или Web-сервер должны иметь возможность соединится с Центром Сертификации, для запроса сертификата или получения обновления сертификата с помощью системы автоматической подачи заявок (autoenrollment). Убедитесь, что соответствующие правила доступа включены между соответствующими сетями. ISA сервер должен иметь возможность разрешать имя Корпоративного Центра Сертификации (enterprise CA) в формате FQDN (fully qualified domain name), чтобы установить с ним связь.
Читайте также:  Настройка системы в fedora

От теории к практике.

Создание сертификата на публикуемом Web-сервере.

На Web сервере открываем оснастку IIS (я буду писать про IIS7, по IIS 6 уже много где написано и его настройка более привычна что ли).

Переходим в раздел настроек сертификатов IIS сервера — Server Certificates. В открывшемся окне, на панели справа, запускаем Create Domain Certificate (я буду описывать создание сертификата с использованием Корпоративного Центра Сертификации (Enterprise CA) )

В открывшемся окне заполняем информацию по сертификату. Основной параметр — это «Common Name» — это имя должно совпадать с тем адресом, что набирает конечный пользователь в своем браузере для доступа к опубликованному сайту. Заполнив остальные поля переходим далее.

В этом окне указываете Центр Сертификации и дружественное имя сертификата.

При нажатии кнопки Select выберите Центр Сертификации

Так выглядит итоговое окно. Нажимаем кнопку Finish и наш сертификат создается.

После того как сертификат создан, его необходимо экспортировать. Для этого на только что созданном сертификате нажимаем правой кнопкой мыши и выбираем пункт Export.

Указываем путь и имя файла для экспорта сертификата, указываем пароль для защиты сертификата. Пароль запоминаем, он будет необходим при импорте сертификата.

Настройка виртуального каталога OWA в IIS.

Далее переходим к настройке виртуального каталога OWA. Там же в консоли управления IIS открываем Default Web Site и переходим к низлежащему каталогу OWA. Выбираем настройки SSL (SSL Settings).

в настройках SSL выставляем следующие параметры

требовать SSL и использовать 128-битную SSL.

Настройка ISA сервера.

Прежде всего на ISA сервер необходимо импортировать сгенерированный ранее сертификат.

Для этого открываем оснастку mmc и дабавляем туда консоль управления сертификатами

указываем что хотим управлять сертификатами Компьютера

Читайте также:  Настройки металошукача фортуна м3

а именно локального компьютера (напоминаю, эту процедуру мы делаем на ISA сервере)

открываем указанную ветку, именно туда мы должны импортировать сертификат

запускаем мастер импорта сертификата

копируем файл с сертификатом на компьютер ISA сервера и указываем путь к нему в мастере импорта

вводим пароль, который использовали при экспорте

указываем в какое хранилище импортировать сертификат

вот что мы должны получить в итоге

После импорта сертификата переходим к созданию правила публикации. Открываем консоль ISA сервера.

На ISA сервер создаем новое правило публикации Web узла.

задаем имя правила публикации

указываем, что мы собираемся публиковать (в нашем случае сервис OWA Exchange 2007)

говорим, что будем использовать SSL

в следующем окне указываем имя сервера, который будем публиковать

задаем параметры внешнего имени публикуемого сервиса

далее система предлагает нам указать Web-listner, в нашем случае его надо сначала создать

переходим к мастеру создания Web-listner

указываем, требовать SSL для клиентов

выбираем интерфейс на котором будет работать Web-listner

переходим к выбору SSL сертификата

указываем импортированный ранее сертификат

указываем параметры проверки подлинности

и настройки параметров единого входа

на этом создание Web-listner закончено

заканчиваем настройки правила публикации

выбираем метод делегирования проверки подлинности

и указываем для кого данное правило будет работать

на этом создание Web-listner закончено

В итоге, после этих не сложных операций, у нас получается наиболее защищенный опубликованный OWA.

2007, Security | artv | 24.11.2010

exchange 2007, How to Articles, IIS, OWA, OWA SSL, Step-by-Step

Источник

Adblock
detector