ISA2006发布SSL OWA之一SSL及CA证书配置篇

Technorati Tags: ISA OWA SSL

为尽快的解决公司用户OWA安全登陆问题，Myhat公司网络管理员决定使用SSL的方式让远程用户安全登陆！由于部署SSL OWA需要使用到证书，故网络管理员提供的解决方法与思路如下：

1、安装证书服务器CA

安装证书服务器有两个选择：

A、安装企业根CA

企业根CA证书具有域内用户自动颁发证书的功能，用户只要是申请即可立即进行安装，只需要到CA申请的站点去下载证书链及申请到证书便可以实现！在下面的实验中将以企业根CA为例进行！

B、安装独方根CA

相对而言，独立根CA没有开启自动证书颁发的功能，所以用户需要到CA证书服务器上对申请的证书做一个批准的动作！

2、OWA网站申请SSL证书

3、OWA网站开启表单验证、安装证书及相关证书链

4、ISA安装相关SSL证书及CA证书链

需要安装两个证书。一个是用于网站SSL认证连接，一个是用于CA证书链，以表明该证书是可以信赖的。

5、开始发布SSL OWA

因目前实验环境已搭建完毕，故目前不提供CA的证书安装这一过程。相关的配置大家可以到网上去搜吧！

OK，开始对服务器进行配置吧！

OWA网站申请SSL证书

１、打开IIS管理器，右键单击“默认网站”，在弹出的快捷菜单中单击“属性”，在“默认网站”属性的“目录安全性”选项卡中，单击“服务器证书”按钮，根据证书向导来建立和安装证书，第一步，选择“新建证书”如下图：

直接下一步

输入新证书的名称，最好是以网站的地址命名

输入与网站相关的信息

再来一个下一步

输入相关地理信息

导出证书申请信息

做最后的信息确认

 

登陆CA证书WEB站点，申请高级证书

点击进阶证书要求（跟简体中文不大容易理解）

点击第二条，这样我们就可以使用之前生成的申请CA证书的信息文件了

以下为之前生成的certrq.txt文档的内容

将这些信息插入到这里（备注：记得证书范本一定要选网页伺服器哟）

我们要保存证书了。这个证书就是以后用来做SSL认证用的。

保存这个证书颁发机构的证书连接，以保证ISA与OWA网站可以共同信任这个站点，这一点很重要哟，没有它你注全功尽弃了。

打开OWA站点――属性――目录安全设定――安全通讯――伺服器认证，我们要安装这个证书了！

安装证书的精灵

处理已经下载的证书

导入证书文件

使用SSL443标准的连接端口

信息确认（来自certnew.cer这个证书中，也是我们之前在申前时设定的）

完成证书导入

现在我们来看看我们安装好的SSL证书。有提示：无法确认这个对象。为什么呢？因为目前颁发证书的机构不受我们计算机信任。哈哈，那我就让它信任我们自己的颁发机构！

现在我们要将CA证书链安装到OWA网站

1、选择开始――运行――MMC――选择档案――新增嵌入式管理单元――新增――证书

选择使用者证书：

开始导入我们的CA信任链接，将其导入到证书（目前使用者）――受信任的颁发机构

找到我们之前下载的CA证书链

选择证书存放位置

OK，信任证书导入完成！

现在我们来看一看刚才那个不受信任的证是否还存在。

ＯＫ，证书颁发机构已经受到的信任了！

现在开始让我们的EX开启SSL表单认证了！

1、找到EX通讯协议HTTP的位置，并且右击属性

OK，已设定表单认证

 

现在我们来测一下！提示让你使用SSL连接。

小插曲 ：（由于IIS出现了问题，使用HTTPS也无法登陆。于是 重建了一下IIS ，并写了一篇博文 ）

继续我们的实验！（重建IIS后仍无法解决HTTPS登陆的问题，目前正在排错中）

现在遇到的问题是：在上面的一切做完之后，使用HTTPS无法进行登录，也没有任何的错误提示。在些非常感觉MCSE群及Exchange2007群用户对我的回复，特别是来自MCSE论坛的芈祖。在你的协助下，帮我完成了整个实验中最关键的排错部分。再次感谢！

经过相关的排错，发现由于博主一时大意，没注意到证书选项，导致证书模板错误，以致于出刚才HTTPS无法使用的问题。说明博主的技术有待提高，博主将继续努力！

现在我们来看看配置正常后的截图：（EX及证书部配置完成）

到此为止，整个实验已经完成了50%,有关OWA SSL发布问题博主将会在下篇博文中进行发布。

 

本文出自 “潜入技术的海洋” 博客，谢绝转载！