Това е време да напиша друга статия за друг добър начин за защита на OWA-сайта и виртуални директории от използването на SSL. Аз ще ви кажа как можете да използвате безплатен SSL сертификат от трета страна. Не, аз не говоря за алчните производители на 30-дневна пробна версия на сертификати като VeriSign и др. Не е много готино да се използва 30-дневен безплатната версия на сертификата, знаейки, че след това трябва да плати петдесет до няколко стотин долара на година, не е голям.
Кой предлага безплатни SSL сертификати? Вярвате или не, това е израелска компания Startcom Ltd .. известен със своята версия на Linux (Startcom Linux). Фирмата е убеден, че правата на SSL сертификат не трябва да зависят от финансовите възможности на индивида и / или организацията. Не мога да не се съглася с тях.
По това време, удостоверението за Старком Не се доверявайте на тези браузъри като Internet Explorer, Firefox, Mozilla и др. Но в момента производители като Microsoft и Mozilla се одитират Старком, за да можем да се надяваме, че в близко бъдеще, тези браузъри ще имат доверие, че удостоверението по подразбиране , Означава ли това, че аз отивам да се обучават на потребителите да инсталирате сертификата ръчно (или използване на метода, описан в бюлетина на Microsoft 297681 - Съобщение за грешка: "Сертификатът, издаден от фирма, която не е част от попечителите", за да не видите предупредителното съобщение за сигурност. показана на фигура 1. не, това не е така.
Подготовка на OWA-сървър.
Първа на сървъра Exchange, започват управление на IIS конзола-сървър, разширете Local Computer> уеб сайтове възел (Local Computer> уеб-сайтове) и изберете Properties има (свойства) в уеб сайта за запис по подразбиране (по подразбиране уеб-сайта). Сега изберете раздела Directory сигурност (Security). и ще видите на екрана, показан на фигура 2.
Забележка.
Ако вашата мрежова конфигурация се използва с външен / вътрешен сървър, трябва да се даде възможност на SSL само на външен сървър (и). С други думи, в такава ситуация, всички процедури трябва да се извършват само на външен сървър, както е описано по-долу (на сървъра).
Сега кликнете сертификата на сървъра (сертификат на сървър). Изберете Създаване на нов сертификат (създаване на нов сертификат). и след това кликнете върху Next (Напред). както е показано на фигура
Изберете Подгответе искане сега, но да го изпратите по-късно (да подготви искане сега, но да го изпратите по-късно). след това кликнете върху Next (Напред)
Въведете описание за сертификата (например OWA SSL сертификат) и след това върху следващата (Next)
Сега въведете името на вашата организация в името на организацията (наименование на организацията) и организационна единица в организационната единица (организационна единица). след това кликнете върху Next (Напред).
Забележка.
След въвеждане на прост име в (общо наименование) областта Общо име на устройството натиснете Next (Напред).
Въведете държавата / региона. Щат / провинция, както и City / район и натиснете Next (Напред).
Посочете местоположението и името на файла, където искате да запишете информацията за сертификата, и след това кликнете върху Next (Напред) (тогава тази информация ще трябва да бъде копиран във форма на интернет страницата Startcom).
Натиснете Next (Следващ). след това Finish (Край).
Искане за сертификат от Startcom.
Това е време, за да получите сертификат от Startcom. Първото нещо, което да направите, е отворен certreg.txt файл и копирайте съдържанието му в клипборда, след това кликнете върху тази връзка, за да стартирате съветника за сертификат. Изберете сертификат Клас 1 (Certificate 1 клас) и кликнете върху Напред (Продължи). Тъй като ние ще използваме сертификат на уеб-сървър IIS, изберете сертификата на сървъра (Без поколение КСО) (сертификата на сървъра (без да се създаде заявка за сертификат за подписване)). след това натиснете бутона Continue (Продължи). Сега попълнете лична информация и кликнете върху Напред (Продължи).
Стартиране на чакащата заявка.
Върнете се в OWA-сървър, отворете управление на конзолата IIS сървър (ако сте я затворили), след разкриване и десния бутон на мишката върху Default уеб сайта (по подразбиране уеб-сайта). Изберете раздела Directory сигурност (Security). след това кликнете върху удостоверението сървър (сертификат на сървър)> Next (Напред). Изберете Process чакащата заявка и инсталиране на сертификата (Тичам чакащата заявка и инсталиране на сертификата), и след това кликнете върху Next (Напред)
Въведете пътя до SSL.CRT на файла. съдържащ сертификата (пътят трябва да е C :. \ ssl.crt ако не укажете другия), а след това щракнете върху Next (Следващ)> SSL приемам настройката по подразбиране порт (SSL порт (443)) и натиснете Next (Следващ) (интересно, колко пъти вече сме кликнали върху Next и да продължите?). Сега потвърди комбиниран сертификат, щракнете върху Next (Напред). след това Finish (Край).
Преди да позволи SSL сертификат на сайта по подразбиране, трябва да сте още една стъпка, но само ако не тече сертификата Startcom на сървъра OWA и затова създадена сертификати CA и междинен център в Trusted Root Certification магазина власти (Trusted Властите корен сертифициране).
Отворете празен MMC конзола на OWA-сървър: Щракнете върху Старт (Start)> Run (Изпълни). въведете MMC, и натиснете Enter. След това в менюто изберете File (конзола)> Add / Remove Snap-в (Add / Remove Snap-в). кликнете върху Добавяне (Добавяне) и след това върху сертификати (удостоверения)
Сега разшири Trusted Root Certification Authorities (Надеждни Root Certification Authorities)> Сертификати (сертификати) и щракнете с левия бутон на сертификати контейнера (сертификати). Изберете Всички задачи (всички задачи)> Import (Импорт)
Ще се появи прозорец на съветника сертификат. Натиснете Next (Следващ). укажете пътя до CA.SER файла (фигура 14), и кликнете отново на следващия (Следващ).
Потвърждаване на сертификата съхранява в доверени Root сертифициране органи (доверени Root Certification органи) (Фигура 15). Натиснете Next (Следващ). след това Finish (Complete)> ОК.
Сега направи същото за сертификат sub.class1.server.ca.cer. и за собствена OWA сървър (SSL-CRT) на сертификата. Всички сертификати се добавят към хранилището, както е показано на фигури
SSL разрешение за по подразбиране сайта.
За да се даде възможност на SSL на сайта по подразбиране, отворете конзолата за управление на IIS и изберете Properties (Свойства) в уебсайта на запис по подразбиране (по подразбиране уеб-сайта). Сега изберете раздела Directory сигурност (Security) и раздел сигурни комуникации (сигурни връзки), щракнете върху бутона Edit (Редактиране) (Фигура 19).
Забележка.
В зависимост от вашия Exchange сървър (конфигурация един сървър или с външен / вътрешен сървър), както и наличието на не-Exchange Server виртуални директории по подразбиране сайта, можете да активирате SSL на Exchange виртуална директория и обществеността. а не на целия сайт. Също така имайте предвид, че SSL резолюция на сайта по подразбиране може да доведе до проблеми с OMA (Outlook Mobile Access - мобилен достъп до Outlook) и ActiveSync.
Марк опцията Изисква сигурния канал (SSL) (Изискване на защитен канал (УКР)) и изискват 128-битово криптиране (Изискване на 128-битово криптиране) (Фигура 20). тъй като повечето съвременни уеб браузъри подкрепа на 128-битово криптиране.
Кликнете два пъти върху ОК и след това затворете конзола за управление на IIS. Сега ние с нетърпение от страна на клиента, за да се уверите, че SSL-връзка с OWA-сайт работи правилно.
Ние работим с клиента.
Забележка.
Защо позволи доставчици трети страни, като например VeriSign многомилионни компании, RapidSSL, InstantSSL възлагат и други. Отделете няколко стотин долара на година за предоставяне на прост сертификат? И все пак - това е справедливо да се обадя 30-дневен безплатен сертификат? Аз не мисля.
Време е да се промени на пазара и да подкрепят компании като Startcom, наистина безплатни сертификати, поддържани от браузъри като Internet Explorer, Firefox, Mozilla, Opera и др.
Статии по тази тема.
Ако сте пропуснали първата част на тази серия, моля, прочетете го за използване на Exchange Server Remote Connectivity Analyzer Tool Инструмент (част. [+]
Свързани статии