为您的 OWA 前端服务器申请证书
注意:下面的步骤假设您的环境中已经安装了一个 CA。
1.启动您的 OWA 前端服务器上的“Internet 服务管理器”。
2.右键单击“默认网站”,然后单击“属性”。
3.单击“目录安全”选项卡,然后单击“服务器证书”。
4.单击“下一步”。单击“新建证书”,然后单击“下一步”。
5.单击“立即向联机证书颁发机构发送请求”选项按钮,然后单击“下一步”。
6.在“名称”字段中,键入一个名称,然后单击“下一步”。
7.在“组织”字段中,键入您组织的名称。
8.在“组织单位”字段中,键入您的组织单位名称,然后单击“下一步”。
9.在“公用名”字段中,键入您的 OWA 前端服务器的 FQDN,然后单击“下一步”。
10.键入省、市信息,然后单击“下一步”。
11.在“证书颁发机构”下拉列表框中,验证是否选中了您的证书颁发机构,然后单击“下一步”。
12.单击“下一步”提交该请求,然后单击“完成”完成该向导。
13.在“目录安全”选项卡上,“安全通信”组框中,单击“编辑”。
14.选择“需要安全通道 (SSL)”,选择“需要 128 位加密”,然后单击“确定”。
15.在“目录安全”选项卡上,“匿名访问和授权控制”组框中,单击“编辑”。
16.选择“基本身份验证(明文发送密码)”,然后单击“是”确认警告。
17.取消选中所有其他选项,然后单击“确定”。
18.单击“确定”。
19.单击“确定”关闭“继承覆盖”对话框,然后关闭“Internet 服务管理器”。
注意:公用名是 OWA 服务器的 FQDN,因为此名称与 ISA 服务器上的“OWA 发布规则属性”相匹配。在发布过程中,ISA 服务器会检查 OWA Web 证书的有效性,以及证书信任链验证和证书过期日期。
OWA 前端服务器和后端 Exchange 服务器之间的加密
您不能使用 SSL 对 OWA 前端服务器和后端服务器之间的数据进行加密。但是,如果前端服务器和后端服务器均运行 Windows 2000,可以使用 IPSec 进行这种加密。IPSec 的优点是比 SSL 运行速度快很多。
注意:为了提高 IPSec 的性能,减少它的开销,应当考虑使用专门的网络适配器来分担 IPSec 处理。
IPSec 使您能够控制该网络适配器接受哪些协议,阻止或允许一些端口以及对其他端口进行加密。对于前端/后端服务器通信,您需要确保端口 80 是加密的。
IPSec 是通过在 Windows 2000 组策略中定义的 IPSec 策略来控制的。
表 1. IPSec 策略设置
策略
设置
OWA 前端
端口 80 出站 – 加密
端口 80 入站 – 阻止
后端
端口 80 入站 – 加密
可以阻止来自前端服务器的入站请求,因为该前端服务器发起了与后端服务器的所有通信。阻止这些请求可以避免意外以明文形式传输用户凭据,并且可以将前端服务器上缓冲区溢出的危险降到最低。
创建 OWA 前端服务器 IPSec 策略
要创建和配置的第一个策略是用于 OWA 前端服务器的。
创建出站 TCP 80 筛选器
1.启动“Active Directory 用户和计算机”。
2.展开“成员服务器”,展开“应用程序服务器”,然后展开 Exchange 2000。
3.右键单击“OWA 前端服务器”OU,然后单击“属性”。
4.单击“组策略”选项卡。
5.选择“OWA 前端增量”GPO。
6.单击“编辑”。
7.展开“Windows 设置”,“安全设置”,然后右键单击“Active Directory 上的 IP 安全策略”。
8.单击“管理 IP 筛选器表和筛选器操作”。
9.单击“添加”。
10.在“名称”框中,键入 Outbound TCP 80 – OWA FE。
11.在“说明”框中,键入“此筛选器匹配 OWA 前端服务器上的出站 TCP 80 通信”。
12.单击“添加”,然后单击“下一步”。
13.在“源地址”下拉列表框中,验证是否显示了“我的 IP 地址”,然后单击“下一步”。
14.在“目标地址”下拉列表框中,验证是否显示了“任何 IP 地址”,然后单击“下一步”。
15.在“选择协议类型”下拉列表框中,选择 TCP,然后单击“下一步”。
16.在“设置 IP 协议端口”中,验证是否选中了“从任何端口”,然后选中“到此端口”,并键入 80。
17.单击“下一步”,然后单击“完成”。
18.单击“关闭”关闭“IP 筛选器列表”窗口。
创建入站 TCP 80 筛选器
1.单击“添加”。
2.在“名称”框中,键入 Inbound TCP 80 – OWA FE。
3.在“说明”框中,键入“此筛选器匹配 OWA 前端服务器上的入站 TCP 80 通信”。
4.单击“添加”,然后单击“下一步”。
5.在“源地址”下拉列表中,选择“任何 IP 地址”,然后单击“下一步”。
6.在“目标地址”下拉列表框中,选择“我的 IP 地址”,然后单击“下一步”。
7.在“选择协议类型”下拉列表框中,选择 TCP,然后单击“下一步”。
8.在“设置 IP 协议端口”中,验证是否选中了“从任何端口”,选择“到此端口”,然后键入 80。
9.单击“下一步”,然后单击“完成”。
10.单击“关闭”。
11.单击“关闭”。
创建与入站 TCP 端口 80 筛选器一起使用的阻止操作
1.从“组策略”窗口,右键单击“Active Directory 上的 IP 安全策略”,然后选择“管理 IP 筛选器列表和筛选器操作”。
2.单击“管理筛选器操作”选项卡。
3.单击“添加”,然后单击“下一步”。
4.在“名称”框中,键入 Block,然后单击“下一步”。
5.选择“阻止”,单击“下一步”。
6.单击“完成”。
创建与出站 TCP 端口 80 筛选器一起使用的加密操作
1.单击“管理筛选器操作”选项卡。
2.单击“添加”,然后单击“下一步”。
3.在“名称”框中,键入 Encrypt,然后单击“下一步”。
4.选择“协商安全”,单击“下一步”。
5.选择“不与不支持 IPsec 的计算机通信”,然后单击“下一步”。
6.验证是否选中了“高(封装的安全有效负载)”,然后单击“下一步”。
7.单击“编辑属性”,然后单击“完成”。
8.单击“添加”。
9.选择“自定义(用于高级用户)”,然后单击“设置”。
10.验证是否只选择了“数据完整性和加密(ESP)”。
11.在“加密算法”中,选择 3DES。
12.单击“确定”。
13.单击“确定”。
14.选择“自定义”,然后单击“上移”。
15.单击“确定”。
16.单击“关闭”。