地址:http://didda.blog.51cto.com/812410/192279
为什么要购买一个三方的证书呢,浪费钱,为什么不自己建一个CA来对Exchange 进行加密呢?这篇文章将一步步教你使用自己的 CA 生成 SSL 证书,进而使你的 Exchange 服务器变得更安全。
配置CA
首先,你要确定在哪个服务器上安装CA服务,只要是一台加入域的成员服务器就可以了。对于有一些单服务器的环境,比如SBS, 这个决定并不难。
注:
为了安装证书服务的web注册组件,这台服务器上要安装IIS,我们稍后会用到这个组件,如果你还没安装,那就装吧。如果你准备在Exchange 2003 本身安装 CA, 那么就不用费心安装IIS了,人类都知道,Exchange 2003对IIS有较强的依赖性,这表示,它已经装过了。
根据下面的步骤来安装CA:
- 点开始-> 控制面板 –> 添加删除程序
- 选添加/删除 Windows 组件
- 选中 Certificate Service.
- 下面的回弹出一个警告,直接点 “是”跳过
Didda注:警告的意思是:装了证书服务后,计算机名字和域成员的关系也许就无法改变了,因为CA的信息被绑定到AD中了。如果你改了,就可能造成证书失效。在安装之前,请确认服务器名字和域成员的关系,你想继续吗?
下面来选CA的种类,选Enterprise Root CA, 点下一步。
我们来确定CA 的Common Name,这篇文章使用 mail.testdomain.com.
其它的选项不用管,直接点 Next >
我们现在来确定CA的数据库和日志文件的存放点,和配置信息,我们这里用默认的,一般情况下用默认的就可以。
点下一步
开始安装了,最后点完成就可以了。
为 Exchange 生成一个证书申请
我们安装了证书组件,现来为我们的默认站点创建一个证书申请
- 点击开始-》 管理工具-》Internet 信息服务管理器
- 展开网站-》 右键点击默认网站,选属性
- 点目录安全选项卡
- 在安全交流下,选服务器证书
默认就会选中建一个新证书
因为我们用的是自己的CA, 选以后发送申请
为你申请的证书起一个名字,起个好记点的,容易辨认的
输入组织信息
下面,要细心了,common name必须要和访问的OWA名字一致,就是外部internet 用户在浏览器里输入的地址。
注:因为一些小的企业,不会发布Exchange到Internet,Exchange使用的是私有IP地址,他们的服务提供商 ISP来处理外部的DNS设置。大多数情况下ISP创建了一个A记录,比如mail.domain.com,指向企业的外部公共IP 地址,把443端口的数据转发到内部的IP 地址。
填省市,国家信息
输入生成的请求文件的名字,默认的就可以
这里,我们可以看到前面填写的信息,如果有什么错,这是你最后更改的机会了。
最后点完成就OK了。
让CA接受这个待定的请求
现在我们有一个待定的请求,我们要让CA接受它,参考下面的步骤
- 打开IE
- 输入http://CAservername/certsrv
注:为了访问 Certsvr 这个虚拟目录,你可能会被要求输入用户名和密码,如果你用 Administrator 账户,Windows 2003很有可能会阻止访问CertSrv的目录,这意味着你要把它加入信任的站点。
现在,我们可以看到证书服务欢迎你了,选申请证书。
选高级证书申请
选提交一个基于base-64-encoded CMC or PKCS #10 编码的文件 或者提交一个基于 a base-64-encoded PKCS #7 的文件
找到前面生成的那个certreq.txt文件,打开,把内容都复制进去,然后选提交,记住下面的模板要选择Web Server
选 Base 64 编码 然后点下载证书
选择保存
选择保存certnew.cer 到C盘
现在可以关掉证书服务的IE窗口了。
把证书绑定到默认站点
现在要把申请来的证书绑到默认站点
点开始-》 管理工具-》Internet信息服务管理器
展开站点 -》右键点击默认站点,选属性
选择目录安全性选项卡
选服务器证书,选择,下一步
选择继续安装证书
除非你有特殊要求,一般都是用443端口做SSL加密
看到前面步骤的信息的一个摘要,这是你最后的机会来修改。
选择下一步,证书就被安装成功了。
在默认站点上开启SSL加密
证书被加到默认的站点了,这时候,客户端和服务器的通讯还不是加密的,选择安全通信下的 编辑,选中需要SSL加密,然后选择 128位加密。
测试SSL加密是否被启用了
现在来测一下证书安装和加密是否成功了
在服务器或客户端上打开下面的地址
http://exchange_server/exchange
你会看到如下的提示
这是正常的,因为站点已经加密了,所以你要用https访问 默认站点下的所有目录。使用下面的地址。
https://exchange_server/exchange
有可能会弹出下面的框
注: 收到这个信息很正常,因为外部访问用的是mail.testdomain.com/exchange,现在你在内部访问,用的exchange_server/exchange,名称和证书的common name不一致,选择是
如果你没有启用表单验证,那么会弹出一下的框,输入管理员的账户测试一下。
可以看到邮箱内容了
注意,IE浏览器,下面那个锁提示你和站点的通讯已经被加密了
写在最后的话
尽管我们可以不用SSL 证书对Owa进行加密,我们强烈推荐你使用SSL加密,如果不加密,你的密码使用明文传输,会有被截取的可能。但使用SSL进行加密并不是最优的方法,最好在Exchange 前面放置一台防火墙,比如ISA。
你也许想要启用 表单认证,这种认证方法提供了一下额外的好处,比如登陆界面,用户进程的cookies使得OwA更安全。
这次就写到这里,希望你喜欢这篇文章