译自Thomas W Shinder,Publishing OWA Sites using ISA Firewall Web Publishing Rules (2004)
远程用户可以通过HTTP协议来使用OWA(Outlook Web Access)连接到你的Exchange服务器上。安全的Exchange的RPC发布比OWA具有更高的安全性,完善的第7层过滤器对于远程的Outlook
MAPI客户和Exchange服务器之间提供了安全的连接。但是,许多在常规的包过滤防火墙后的客户被禁止访问外部网络的MAPI,因为这些包过滤防火墙缺乏和ISA防火墙的第7层的过滤。
OWA站点发布提供了一个完美的的办法,通过ISA防火墙的OWA发布,你可以让你的远程客户安全的访问你的Exchange服务器OWA站点。确认远程用户和OWA Web站点之间进行安全连接的技术有:
%26#8226; 在OWA客户和ISA防火墙之间的SSL连接;
%26#8226; 在ISA防火墙和OWA站点间的SSL连接;
%26#8226; 强加于OWA目录的客户证书,它要求ISA防火墙(或者其他主机)在连接到OWA Web站点目录时先出示一个客户证书;
%26#8226; ISA防火墙Web发布策略上的用户访问许可要求远程OWA客户出示用户证书,否则ISA防火墙不会转发信息到OWA Web站点;(注:可以使用所有用户来将它忽略掉,在此例就是)
%26#8226; OWA基于表单的认证允许ISA防火墙产生登录表单,这样阻止没有经过认证的连接到达OWA站点。
%26#8226; 基本身份验证确保ISA防火墙预认证用户,阻止没有没有经过认证的主机发送单个数据包到达OWA Web站点。
%26#8226; 微软企业CA允许基于证书来控制所有的访问,这样可以没有从未经验证的主机发起访问的危险。并且访问和会话由ISA防火墙来控制提供了更高的安全性。
在这篇文章中,我们将安装以下步骤来实现内部OWA Web站点的发布:
%26#8226; 为OWA Web站点发布和绑定一个Web站点证书;
%26#8226; 将OWA Web站点的证书导出到一个文件中(包含站点的私钥);
%26#8226; 配置OWA站点强制使用SSL加密和基本身份认证;
%26#8226; 将OWA Web站点的证书导入到ISA防火墙计算机中;
%26#8226; 运行OWA发布向导,在HOSTS文件中为OWA Web站点地址建立对应项;
%26#8226; 在进入的Web请求侦听器上要求客户证书(可选);
%26#8226; 配置公众的DNS服务器解析OWA站点的域名;
%26#8226; 发布证书权威的Web注册站点;
%26#8226; 在OWA客户上安装证书权威;
%26#8226; 在OWA客户计算机的HOSTS文件中建立对应项;
%26#8226; 建立到OWA Web站点的连接;
下图为这篇文章中的试验环境:
500)this.width=500" border=0
为了执行SSL到SSL的桥接,ISA防火墙必须建立两个SSL连接:
%26#8226; 第一个是在OWA客户和ISA防火墙之间;
%26#8226; 第二个是在ISA防火墙和内部的OWA Web站点之间;
为了实现ISA防火墙和OWA Web站点之间的SSL连接,我们必须为OWA Web站点请求一个Web服务器证书,并且绑定此证书。
执行以下步骤来为OWA Web站点请求Web服务器证书:
1. 在EXCHANGE2003BE计算机上,点击Start,然后指向Administrative Tools,点击Internet Information Services (IIS) Manager;
2. 在Internet Information Services (IIS) Manager控制台的左面板,展开Web Sites节点,然后点击Default Web Site,右击Default Web Site,然后点击Properties;
3. 在Default Web Site Properties对话框,点击Directory Security标签;
4. 在Directory Security标签,点击Secure communications下的Server Certificate按钮;
5. 在Welcome to the Web Server Certificate Wizard页,点击Next;
6. 在Server Certificate页,选择Create a new certificate 选项,然后点击Next;
7. 在Delayed or Immediate Request 页,选择Send the request immediately to an online certificate authority选项,然后点击Next;
8. 在Name and Security Settings页,接受默认设置,然后点击Next;
9. 在Organization Information页,在Organization和Organizational Unit文本框中输入输入你组织名和组织单元名,点击Next;
10. 在Your Site's Common Name页,输入站点的公共名字,这个公共名字将被内部和外部的用户用来访问这个站点。例如,如果用户使用https://owa.msfirewall.org来访问这个OWA站点,那么站点的公共名字就是owa.msfirewall.org。在此例中,我们输入owa.msfirewall.org。这是一个很重要的设置,如果你没有输入正确的公共名字,在连接OWA站点时会出现错误。点击Next;
500)this.width=500" border=0
11. 在Geographical Information页,输入你的Country/Region、State/province 和City/locality,点击Next;
12. 在SSL Port页,接受默认的值443,点击Next;
13. 在Choose a Certification Authority页,接受默认的选择,然后点击Next;
14. 在Certificate Request Submission页检查设置,然后点击Next;
15. 在Completing the Web Server Certificate Wizard页点击Finish;
16. 注意,此时View Certificate按钮已经可用,这表明Web站点的证书已经绑定到了OWA Web站点,并且可以用于强制SSL连接了。
17. 在Default Web Site Properties对话框点击OK。
将OWA Web站点的证书导出到一个文件中(包含站点的私钥)
当OWA客户在它和ISA防火墙间建立第一个SSL连接时,ISA防火墙模拟OWA Web站点。为了让ISA防火墙做到这点,你必须导出OWA Web站点的证书,导入到ISA防火墙计算机的证书存储中。当你导出证书时,导出Web站点的私钥是非常重要的。如果没有导出私钥,那么你将不能绑定证书到ISA防火墙的Web侦听器上。
执行以下步骤以导出Web站点的证书和私钥到一个文件中:
1. 在Internet Information Services (IIS) Manager控制台,展开Web Sites,然后点击Default Web Site,右击Default Web Site,然后点击Properties;
2. 在Default Web Site Properties对话框,点击Directory Security 标签;
3. 在Directory Security标签,点击View Certificate按钮;
4. 在Certificate对话框,点击Details标签,在Details标签,点击Copy to File按钮;
5. 在Welcome to the Certificate Export Wizard 页,点击Next;
6. 在Export Private Key页,选择Yes, export the private key,然后点击Next;
500)this.width=500" border=0
7. 在Export File Format页,选择Personal Information Exchange PKCS #12 (.PFX)选项,勾选Include all certificates in the certification path if possible ,然后取消勾选Enable strong protection (requires IE 5.0, NT 4.0 SP4 or above) ,点击Next;
8. 在Password页,输入并确认密码,点击Next;
9. 在File to Export页,在File name文本框中输入输入c:\owacert,点击Next;
10. 在Completing the Certificate Export Wizard页点击Finish;
11. 在Certificate对话框中点击OK;
12. 在Default Web Site Properties对话框中点击OK;
13. 把owacert.pfx 从C:\复制到ISA防火墙计算机上;
, ,
