54SA.COM|专注于系统运维管理,为中国SA提供动力!
Getting online shouldn't be tough. $7.99 .COMs
系统管理员之家Banner
当前位置: 主页 > Windows > 服务器 > ISA >

通过ISA2006防火墙发布SSL的OWA

时间:2010-10-28 21:31来源:网络 编辑:Tina

        如何通过ISA2006防火墙发布启用了SSL的OWA

        接文章:Exchange2003 OWA加密设置

  链接地址:http://windows.chinaitlab.com/Exchange/739006.html

  【IT专家网独家】在上一篇文章中,我们说了如何给OWA启用SSL(安全套接字),在本篇文章中,我们来说明一下如何通过ISA2004防火墙发布启用了SSL的OWA,OWA使用上次的试验环境,下面开始试验。

  试验环境:Exchange2003

  CA

  ISA2006(本次试验使用的是企业版)

  客户端(任意操作系统)

  首先我们安装ISA2006,准备一台具有两块网卡的Windows2003操作系统机器,并将ISA2006企业版的安装程序拷贝上去,下面开始安装ISA2006:

  在安装之前,先要进行网卡设置,首先设置网卡IP地址,如图1:

  image1

  图1

  然后将要安装ISA2006的机器加入Exchange2003所在的域,并以域管理员的身份登陆,然后开始安装ISA2006:关键部分设置如图2至图6:

  image2

  图2

        image3

  图3

  image4

  图4

  image5

  图5

        image6

  图6

 

  至此ISA2006安装完毕,下面我们来看如何通过ISA防火墙发布已经启用SSL的OWA。

  首先将OWA使用的证书导出成一个文件,如图7,打开OWA所在服务器IIS默认网站的属性:

         image7

  图7

       切换到目录安全性,点击察看证书,在新的窗口中切换到详细信息选项卡,如图8:

  image8

  图8

       点击复制到文件,进行证书的导出操作,如图9:

  image9

  图9

  选择是,导出私钥,如图10:

  image10

  图10

  去掉默认的启用加强保护,勾上“如果可能,包括证书路径中的所有证书”导出所有证书,如图11

  image11

  图11

       在此处设置证书导入时需要的密码,可以为空,如图12:

  image12

  图12

  设置导出后的密钥文件名以及存放路径,如图13:

  image13

  图13

  点击下一步完成证书的导出工作。

  在该试验完成之后,客户端访问时访问的是ISA防火墙的外网网卡,然后ISA将客户端的访问请求转交给Exchange服务器,由于我们的Exchange服务器的OWA开启了SSL,所以在ISA防火墙将客户端的请求转交给Exchange服务器时,需要通过一个证书来进行防火墙和Exchange服务器之间的身份验证,从而使客户端在收发电子邮件时,从客户端到ISA,从ISA到Exchange,整个过程都是试用SSL的,安全的!然而ISA所使用的证书必须要求和OWA所使用的证书一致,在上面的步骤中我们已经将OWA试用的证书进行了导出,接下来我们需要将OWA试用的证书导入到ISA服务器中去,看具体操作。

     将刚才从OWA服务器上导出的证书文件拷贝到ISA服务器上,下面进行证书的导入操作。

  以域帐户登陆ISA服务器,然后运行MMC,如图14:

  image14

  图14

  点击文件,添加删除管理单元,然后再新窗口中选择添加按钮,如图15:

  image15

  图15

  选中证书,点添加,选择计算机账户,如图16:

  image16

  图16

        选择本地计算机,然后点完成,关闭对话框,如图17

  image17

  图17

  然后依次点关闭,确定,分别关闭两个前两个窗口,此时MMC控制台变为如图18:

  image18

  图18

  选中证书,然后点开里面的个人,然后选中个人里面的证书,如图19:

  image19

  图19

      在证书上点击右键,然后选择所有任务,导入,出现新窗口,点击下一步,如图20所示:

  image20

  图20

  在此选择从OWA服务器上导出的证书进行导入,点击浏览按钮,在新弹出的窗口文件类型中选择个人信息交换,即可看到从OWA服务器上导出的证书,如图21

  image21

  图21

  选择刚才导出的证书,并点击打开进行导入,如图22:

  image22

  图22

       点击下一步,在此输入在导出证书时所设置的密码,如果没有设置则为空,如图23:

  image23

  图23

  点击下一步,在此选择第二项,并点击浏览按钮,选择个人,如图24:

  image24

  图24

 

  点击下一步,然后完成,完成证书的导入过程,此时在MMC的个人/证书中显示为图25所示的样子:

  image25

  图25

       下面需要将这两个证书拷贝到受信任的根证书颁发机构中去,在个人/证书中选中刚才导入的两个证书,然后点击右键,复制,如图26:

  image26

  图26

  再在信任的根证书颁发机构这里,选中证书,然后点击右键,选择粘贴,如图27:

  image27

  图27

  到此为止证书导入工作彻底完成,下面来建立相关的信任关系,首先修改ISA策略。

  打开ISA管理器,选择阵列,选择防火墙策略,然后点击右键,点击新建访问规则,如图28所示:

  image28

  图28

       给访问规则起个名称,然后下一步,选择允许,即允许符合条件的数据通过防火墙,如图29:

  image29

  图29

  在此选择允许通过的数据所使用的协议,在这里选择http协议,如图30:

  image30

  图30

 

  点击下一步,在这里选择源,即该数据传输请求试用由谁发起的,在这里选择本地主机,如图31:

  image31

  图31

       点击下一步,在这里选择目的,即数据要发送到哪里去,选择内部,如图32:

  image32

  图32

  然后点两次下一步,然后完成访问规则的创建,如图33所示:

  image33

  图33

  最后点应用,使访问规则生效。

  在这里做这一步的目的是,我们要在ISA服务器和Exchange服务器之间建立一个证书上的信任关系,而这个信任关系需要通过CA的证书链来实现,要安装CA的证书链,就需要通过web页面访问CA的web站点,而ISA服务器默认是将这个禁止掉的,所以我们需要单独建立一条访问规则来开启它,下面来安装证书链。

      在ISA防火墙上打开IE浏览器,输入CA的web站点地址,在该实验中为http://192.168.0.1/certsrv ,如图34:

  image34

  图34

  由于我们的CA类型为企业根CA,所以在这里需要输入任意一个域帐户进行身份验证,如图35,36:

  image35

  图35

  image36

  图36

      在这里选择下载一个CA证书,证书链或CRL,如图37

  image37

  图37

 

  选择安装此CA 证书链,然后在所有的提示信息中都点是,最后提示安装成功,如图39:

  image38

  图38

  至此ISA服务器于Exchange服务器之间的CA信任关系建立完成,下面看如何发布Exchange服务器:

  在ISA 服务器上建立服务器发布规则。

      打开ISA服务器管理,选中防火墙策略,然后点击右键,选中Exchange Web客户端访问发布规则,如图39:

  图39

  图39

  给规则起个名字,例如叫OWA,然后点击下一步,出现如图40所示:

  图40

  图40

  在Exchange版本这里选择Exchange2003,Web客户端邮件服务这里选择前两项,然后下一步,如图41:

  image41

  图41

       在这里进行设置Exchange服务器的工作方式,第一种为只有一个Exchange服务器,第二种为有多个Exchange服务器,然后组合成一个Exchange集群,即一个Exchange服务器场,可根据实际情况来选择,在本次试验中我们选择第一项,点击下一步,如图42:

  image42

  图42

  在这里设置发布方式,我们选择第一项,使用SSL 的安全连接,下一步,如图43:

  image43

  图43

 

  在这里设置Exchange服务器的计算机名,注意该名称要和Exchange计算机名,OWA服务器在申请证书时输入的公用名称,以及外部客户端在访问Exchange服务器时使用的域名要完全一致,在本次试验中问owa.caohj.com ,下一步,如图44:

  image44

  图44

       在此设置外部客户端通过什么域名来访问Exchange服务器,要和上一步输入的名称以及证书名称一致,点击下一步,如图45:

  image45

  图45

  在此设置侦听器。我们现在做的步骤是将放置于内部子网的Exchange服务器通过ISA进行发布,然后让外部的用户来进行访问,而ISA在这个过程中起个转发过滤功能,即当用户访问ISA的外网网卡时,ISA防火墙进程将访问请求转发给内部的Excahnge服务器,而Exchange服务器在接受到请求后做出回应,并将回应信息发送给ISA防火墙的内部网卡,ISA防火墙再将回应信息转发给外部的客户端,完成整个通信过程。而侦听器就是用来设置ISA防火墙进程侦听来自哪个网络(内网还是外网或者别的)的访问请求以及使用的协议,在此我们点击新建,新建一个侦听器。

  点击新建,如图47所示:

  image46

  图46

  给侦听器起个名字,例如叫SSL,然后点击下一步,如图47:

  image47

  图47

        在这里选择第一项,SSL安全链接,点击下一步,如图49:

  image48

  图48

  在这里勾选中外部,设置让侦听器侦听来自外部的访问请求,下一步,如图49:

  image49

  图49

  在此进行证书设置,点击选择证书,选择我们开始导入的证书,如果证书导入没有问题,则显示应该为图中所示,完了之后点击选择,下一步,如图50:

  image50

  图50

  

    在这里选择客户端打开Exchange登陆窗口时使用的验证方式,在本次试验中我们按照默认的选择,点击下一步,如图51:

  image51

  图51

  在这一步中去掉SSO选项,点击下一步,完成侦听器的创建如图52:

  image52

  图52

  点击下一步,设置ISA和OWA服务器之间的验证方式,选择默认的基本身份验证,如图53:

  image53

  图53

  点击两次下一步,完成,完成整个发布规则的创建,然后点击应用,使刚才创建的发布规则生效。

     由于我们在图44这一步中,设置的是OWA服务器的计算机名,所以我们需要做相关的解析,可以为DNS,也可以为hosts表,在这里我们以hosts表为例。

  在ISA服务器上用记事本打开c:/windows/system32/drivers/etc 文件夹下的hosts文件,然后在最下面加入一行

  192.168.0.2 owa.caohj.com

  前面为OWA服务器的IP地址,后面为计算机名,中间用空格。如图54:

  image54

  图54

  保存,关闭该文件,下面在外部客户端使用域名进行访问,效果如图55所示:

  image55

  图55

  注意,在此访问时使用的地址为https://owa.caohj.com/exchange ,而owa.caohj.com对应的地址应该为ISA防火墙外网网卡的IP地址。输入用户名和密码可进行登陆。如图56所示:

  image56

  图56

  在这里需要注意,如果能弹出这个登陆窗口,但是输入用户名密码确不能登陆,需要注意几个问题,首先ISA服务器要加入Exchange所在的域,其次用户名的书写格式为 域名用户名,另外需要注意用户名密码的正确性,如果不能弹出这个登陆窗口,则需要检查各处证书之间是否存在问题,所使用的名称是否一致,计算机名解析是否正确,服务器发布规则是否保存应用等。

[责任编辑:Lavy]


------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>