分类: WINDOWS
2010-03-21 21:18:48
一 证书申请
发布Exchange OWA可以使用HTTP,也可以使用HTTPS,从安全角度考虑,我们推荐使用HTTPS对数据进行加密保护。既然想用HTTPS,那肯定要在why上的IIS上申请证书,在why的IIS管理器中打开默认站点属性,切换到目录安全性标签,如下图所示,点击“服务器证书”。
出现Web服务器证书申请向导,下一步(建议先把之前的证书删除)。
新建证书
由于why上的证书服务器是企业根,支持在线颁发证书,因此我们选择“立即把证书请求发送到联机证书颁发机构”。
证书的名称和位长都可以使用默认值。
证书的公用名称是关键,这个名称需要和Exchange服务器发布到公网上的完全合格域名一模一样,而且ISA在发布规则中也需要使用这个名称来表示Exchange服务器。
把证书申请直接发送到Active Directory中的CA服务器。
开始提交证书申请
完成证书
在IIS默认站点属性中切换到目录安全性标签,点击“查看证书”,如下图所示,证书是由CA服务器颁发给denver.benet.com服务器的。
二 导出证书
IIS申请证书之后,由于ISA准备采用桥接的方法发布Exchange站点,因此ISA服务器需要用证书向外网用户证明自己就是他们要访问的mail.benet.com,ISA需要的证书从何而来呢?答案是从why上导出。下面我们就来看看如何进行证书导出,在why的IIS管理器中打开默认站点属性,切换到目录安全性标签,点击“查看证书”,切换到证书的“详细信息”标签,如下图所示,点击“复制到文件”。
出现证书导出向导,下一步
注意,必须导出私钥,否则ISA服务器无法解密数据。
输入保护私钥的密码,导入证书时必须回答出此密码才能导入私钥
完成证书导出
接下来我们把证书文件复制到ISA服务器上,为下一步的证书导入做好准备。
三 导入证书
ISA服务器需要导入此前why导出的证书,这样才能用于Web侦听器上加密外网用户发来的数据。在ISA服务器上用MMC自定义一个证书管理工具,负责管理计算机存储的证书如下图所示,在证书管理工具中选择“导入”(或者直接双击安装)。
将证书存储在个人区域。
然后再下载安装证书链
导入守信认得颁发机构
四 创建OWA发布规则
证书的申请,导出,导入等工作已经完成,接下来就可以在ISA服务器上进行Exchange的OWA发布了,如下图所示,我们在ISA服务器上选择新建“Exchange Web客户端访问发布规则”。
输入发布规则的名称
选择Exchange版本为Exchange 2007,客户端的访问方式是Outlook Web Access。
网站发布类型为发布单个网站下步,选择使用SSL连接到被发布的Exchange服务器,
内部站点名称为mail.benet.com,注意,这个名称应该和证书的公用名称保持一致。
Exchange服务器对外的公用域名也是mail.benet.com
由于没有Web侦听器,我们选择新建一个
输入选下一步再选选侦听器与外网访问者之间的数据传递也用SSL进行加密。
侦听器监听的区域是外网。
在侦听器中选择使用导入的mail.benet.com证书
客户端验证方式可以选择HTML窗体验证,窗体验证对于使用公用计算机的外网用户来说更加灵活安全
在本例中我们不需要使用单一登录设置
在Exchange OWA的发布规则中选择使用刚创建的Web侦听器ISA使用基本身份验证来进行验证委派,虽然基本身份验本身对数据没有进行加密保护,但由于使用了SSL,基本身份验证也是很安全的。如果使用集成验证委派,那需要我们在Active Directory中配置相关的SPN
由于发布的Exchange OWA需要对用户进行身份验证,因此发布规则针对的用户应该是所有通过身份验证的用户
五 测试
完成了OWA的发布之后,我们在外网的机器上测试一下,在外网的浏览器中输入[url]结果如下图所示,出现表单登录界面,选择我们使用的计算机是公用计算机上,输入用户名和密码,点击登录。
测试成功!!!!!!!!!!!!!!!
