地址:http://didda.blog.51cto.com/812410/192279

为什么要购买一个三方的证书呢,浪费钱,为什么不自己建一个CA来对Exchange 进行加密呢?这篇文章将一步步教你使用自己的 CA 生成 SSL 证书,进而使你的 Exchange 服务器变得更安全。

 

配置CA

首先,你要确定在哪个服务器上安装CA服务,只要是一台加入域的成员服务器就可以了。对于有一些单服务器的环境,比如SBS, 这个决定并不难。

 

注:

为了安装证书服务的web注册组件,这台服务器上要安装IIS,我们稍后会用到这个组件,如果你还没安装,那就装吧。如果你准备在Exchange 2003 本身安装 CA, 那么就不用费心安装IIS了,人类都知道,Exchange 2003对IIS有较强的依赖性,这表示,它已经装过了。

 

根据下面的步骤来安装CA:

  • 点开始-> 控制面板 –> 添加删除程序
  • 选添加/删除 Windows 组件
  • 选中 Certificate Service.
  • 下面的回弹出一个警告,直接点 “是”跳过

 

Didda注:警告的意思是:装了证书服务后,计算机名字和域成员的关系也许就无法改变了,因为CA的信息被绑定到AD中了。如果你改了,就可能造成证书失效。在安装之前,请确认服务器名字和域成员的关系,你想继续吗?

 

下面来选CA的种类,选Enterprise Root CA, 点下一步。

我们来确定CA 的Common Name,这篇文章使用 mail.testdomain.com.

其它的选项不用管,直接点 Next >

我们现在来确定CA的数据库和日志文件的存放点,和配置信息,我们这里用默认的,一般情况下用默认的就可以。

点下一步

开始安装了,最后点完成就可以了。

 

为 Exchange 生成一个证书申请

我们安装了证书组件,现来为我们的默认站点创建一个证书申请

  • 点击开始-》 管理工具-》Internet 信息服务管理器
  • 展开网站-》 右键点击默认网站,选属性
  • 点目录安全选项卡
  • 在安全交流下,选服务器证书

默认就会选中建一个新证书

因为我们用的是自己的CA, 选以后发送申请

为你申请的证书起一个名字,起个好记点的,容易辨认的

输入组织信息

 

下面,要细心了,common name必须要和访问的OWA名字一致,就是外部internet 用户在浏览器里输入的地址。

:因为一些小的企业,不会发布Exchange到Internet,Exchange使用的是私有IP地址,他们的服务提供商 ISP来处理外部的DNS设置。大多数情况下ISP创建了一个A记录,比如mail.domain.com,指向企业的外部公共IP 地址,把443端口的数据转发到内部的IP 地址。
 

填省市,国家信息

输入生成的请求文件的名字,默认的就可以

这里,我们可以看到前面填写的信息,如果有什么错,这是你最后更改的机会了。

最后点完成就OK了。

 

让CA接受这个待定的请求

现在我们有一个待定的请求,我们要让CA接受它,参考下面的步骤

注:为了访问 Certsvr 这个虚拟目录,你可能会被要求输入用户名和密码,如果你用 Administrator 账户,Windows 2003很有可能会阻止访问CertSrv的目录,这意味着你要把它加入信任的站点。

 

现在,我们可以看到证书服务欢迎你了,选申请证书。

 

选高级证书申请

提交一个基于base-64-encoded CMC or PKCS #10 编码的文件 或者提交一个基于 a base-64-encoded PKCS #7 的文件

找到前面生成的那个certreq.txt文件,打开,把内容都复制进去,然后选提交,记住下面的模板要选择Web Server

Base 64 编码 然后点下载证书

 

选择保存

选择保存certnew.cer 到C盘

现在可以关掉证书服务的IE窗口了。

 

把证书绑定到默认站点

 

现在要把申请来的证书绑到默认站点

开始-》 管理工具-》Internet信息服务管理器

展开站点 -》右键点击默认站点,选属性

选择目录安全性选项卡

服务器证书,选择,下一步

选择继续安装证书

除非你有特殊要求,一般都是用443端口做SSL加密

看到前面步骤的信息的一个摘要,这是你最后的机会来修改。

选择下一步,证书就被安装成功了。

 

在默认站点上开启SSL加密

证书被加到默认的站点了,这时候,客户端和服务器的通讯还不是加密的,选择安全通信下的 编辑,选中需要SSL加密,然后选择 128位加密。

 

 

测试SSL加密是否被启用了

现在来测一下证书安装和加密是否成功了

在服务器或客户端上打开下面的地址

http://exchange_server/exchange

你会看到如下的提示

这是正常的,因为站点已经加密了,所以你要用https访问 默认站点下的所有目录。使用下面的地址。

https://exchange_server/exchange

有可能会弹出下面的框

注: 收到这个信息很正常,因为外部访问用的是mail.testdomain.com/exchange,现在你在内部访问,用的exchange_server/exchange,名称和证书的common name不一致,选择是

 

如果你没有启用表单验证,那么会弹出一下的框,输入管理员的账户测试一下。

 

可以看到邮箱内容了

注意,IE浏览器,下面那个锁提示你和站点的通讯已经被加密了

 

写在最后的话

尽管我们可以不用SSL 证书对Owa进行加密,我们强烈推荐你使用SSL加密,如果不加密,你的密码使用明文传输,会有被截取的可能。但使用SSL进行加密并不是最优的方法,最好在Exchange 前面放置一台防火墙,比如ISA。

 

你也许想要启用 表单认证,这种认证方法提供了一下额外的好处,比如登陆界面,用户进程的cookies使得OwA更安全。

这次就写到这里,希望你喜欢这篇文章