VnExperts - Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CEH

Publish Outlook Web Access Exchange 2003 server qua ISA 2004 (Part I) PDF Print E-mail

Trong bài viết này tôi xin giới thiệu với các bạn cách cấu hình Publish OWA Exchange 2003 server qua ISA 2004 sử dụng Certificate service để cho phép các remote user có thể truy cập đến OWA site qua phương thức bảo mật mạnh SSL-To-SSL briged connections. SSL (Secure Sockets Layer) Protocol là giao thức nằm ở lớp Transport (Layer) có khả năng mã hoá dữ liệu truyền giữa client và server.

SSL security hiện được xem là chuẩn cung cấp an toàn cho các remote access đến Websites, ngoài ra Certificate còn dùng trong việc xác nhận các đối tượng tham gia kết nối VPN bao gồm VPN clients và VPN servers.

Ta sẽ sử dụng Certificate service ở chế độ Enterprise CA trong bài viết này, thế thì tại sao tôi lại dùng Enterprise CA mà không dùng Standalone CA? tại vì khi chúng ta dùng Enterprise CA thì chứng thực gốc của CA (Root CA certificate) được tự động đưa vào vùng lưu trữ certificate của Trusted Root Certification Authorities (Certificate store) trên tất cả các thành viên trong Domain khi dùng các giao dịch cần Certificate để nâng cao tính an toàn.

Chú ý: Chúng ta không nhất thiết phải dùng CA ở Enterprise mode, mà bạn cũng có thể cài ở chế độ Standalone mode cũng được. Nhưng trong khuôn khổ bài này tôi sẽ không để cập đến Standalone mode hay làm thế nào để xin Certificate từ một Standalone Mode.

Dưới đây là mô hình mà chúng ta thực hiện cấu hình.

Như ta thấy ở mô hình trên chúng ta có:

1 server đã install AD, DNS = msfirewall.org, Exchanger 2003 server (EXCHANGE2003BE).

1 server đã setup ISA 2004 (ISALOCAL).

1 OWA client (EXTCLIENT).

Các bước chi tiết cần phải cấu hình như sau.

- Tạo một Web Site Certificate tới OWA Web site

- Export OWA Web Site Certificate sử dụng Private Key

- Cấu hình OWA Site sử dụng phương thức mã hoá SSL và Basic Authentication

- Import OWA Web Site Certificate vào Certificate Store trên máy ISA

- Sử dụng Outlook Web Access Publishing Winzard và sửa HOSTS file trên ISA để truy vấn tới địa chỉ OWA Website

- Gia tăng bảo mật bằng cách yêu cầu xác thực Certificate từ Client bằng Web Requests Listener

- Configure HOST file trên máy OWA client

- Connection OWA Web Site.

Sau đây chúng ta đi vào chi tiết cấu hình Step-by-Step các bước trên.

* Tạo một Web Site Certificate tới OWA Web site.

Việc thực hiện SSL to SSL bridging thì ISA firewall phải thiết lập 2 kết nối SSL sau

. Đầu tiên là kết nối giữa OWA client và ISA firewall

. Thứ hai là giữa ISA firewall và OWA Web site trên Internal network

Để hỗ trợ 2 kết nối giữa ISA firewall và OWA Web site ta phải yêu cầu 1 Web site certificate cho OWA site.

Để yêu cầu Web site certificate cho OWA ta làm như sau:

+ Tại máy EXCHANGE2003BE, click Start chọn Administrative Tools, click Internet Information Services(IIS) Manager.

+ Trên IIS manager click Web sites, chọn Default Web Site. Right click Default Web Site chọn Properties.

+ Trên Default Web Site Properties dialog box, click Directory Security tab.

+ Trên Directory Security tab, click Server Certificate button trong khung Secure communications.

+ Trên form Welcome to the Web Server Certificate Wizard click Next.

+ Trên form Server Certificate chọn Create a new certificate và click Next.

+ Tại form Delayed or Immediate Request chọn Send the request immediately to an online certificate authority và click Next.

+ Tại form Name and Security Settings để mặc định và click Next.

+ Trên Organization Information điền tên tổ chức của bạn trong text box Organization và tên Organizational Unit’s trong text box Organizational Unit và click Next

+ Trên form Your Site’s Common Name bạn nhập vào common name của site, common name này để các user sử dụng truy cập vào OWA site. Ở bài này tôi dùng common name là owa.msfirewall.org điền vào trong text box Common name (Nếu chúng ta không nhập đúng common name này chúng ta sẽ nhìn thấy lỗi khi kết nối vào OWA site). Click Next

+ Trên form Geographical Information nhập vào text boxes Country/Region, State/provinceCity/locality. Click Next

+ Trên form SSL Port chọn giá trị mặc định là 443 trong text box SSL port this web site should use. Click Next.

+ Reveiw setting trên form Certificate Request Submission và click Next

+ Click Finish trên form Completing the Web Server Certificate Wizard

+ Chú ý ta chỉ setup Certificate thành công khi button View Certificate hiện lên.

+ Click OK trên dialog box Default Web Site Properties.

* Export OWA Web Site Certificate sử dụng Private Key.

ISA firewall đóng vai trò là OWA Web site khi OWA client thiết lập liên kết SSL đầu tiên giữa bản thân nó và ISA firewall, để làm điều này chúng ta phải export OWA site's Web site certificate và import Web site certificate đó vào trong certificate store trên máy ISA, sử dụng private key.

Sau đây là các bước thực hiện công việc.

+ Vào IIS manager, chọn Web Sites sau đó right click Default Web Site và chọn Properties.

+ Sau đó chọn tab Directory Security, click View Certificate button trong khung Secure communications.

+ Trong dialog box Certificate, click Details tab. Trên Details tab click Copy to File button.

+ Click Next trên form Welcome to the Certificate Export Wizard

+ Trên form Export Private Key chọn Yes, export the private key sau đó click Next

+ Tại form Export File Format chọn Personal Information Exchange – PKCS #12 (.PFX) và tích vào check box Include all certificates in the certification path if possible và nhớ là bỏ chọn trong checkbox Enable strong protection (requires IE 5.0, NT 4.0 SP4 or above), sau đó click Next

+ Trên form Password nhập vào password của bạn sau đó nhập lại tại trường Comfirm Password và click Next

+Trong text box File name của form File to Export bạn nhập c:\owacert vào và click Next.

+ Sau đó click Finish trên form Completing the Certificate Export Wizard

+ Click OK trong dialog box Certificate

+ Click OK trong dialog box Default Web Site Properties

+ Copy file owacert.pfx vào trong ổ C:\ của máy ISA firewall

 

* Cấu hình OWA Site sử dụng phương thức mã hoá SSL và Basic Authentication

Chúng ta thực hiện các bước cấu hình như sau.

+ Click Start và trỏ tới Administrative Tools và click Internet Information Services. Trong IIS manager click tên server sau đó là Default Web Site ta thấy bên trái có 3 thư mục OWA Web site mà users truy cập từ xa là:

/Exchange

/ExchWeb

/Public

Chúng ta muốn cho ISA firewall luôn luôn đàm phán kết nối SSL khi giao tiếp giữa 3 thư mục này và OWA client từ xa.

+ Right click Exchange rồi chọn Properties

+ Click vào tab Directory Security, trong khung Authentication and access control ta click vào Edit

+ Trên dialog box Authentication Methods ta bỏ tất cả các lựa chọn loại trừ check box Basic authentication ra, sau đó click Yes sau đó sẽ xuất hiện dialog box cảnh báo là đã sử dụng SSL. Bạn nhập tên domain của bạn vào trong text box Default domain như trong bài này thì domain name của tôi là MSFIREWALL. Click OK

+ Click Apply sau đó click OK trong dialog box Exchange Properties

Sau đó chúng ta lặp lại những bước tương tự với /Exchweb /Public và đóng IIS manager sau khi ta đã thực hiện thiết lập basic authentication trên Exchange, ExchwebPublic

Bước tiếp theo chúng ta thực hiện cấu hình ISA firewall Web proxy filter sử dụng SSL khi kết nối tới OWA directory

+ Click Start, trỏ tới Administrative Tools và click Internet Information Services, click vào server name rồi chọn Defauft Web Site.

+ Sau đó right click vào Exchange chọn Properties

+ Chọn tab Directory Security và click Edit button trong khung Secure communications

+ Trong dialog box Secure Communications tích vào check box Require secure channel (SSL) Require 128-bit encryption, sau đó click OK

+ Click Apply sau đó click OK trong dialog box Exchange Properties

Làm lại những bước này với /Exchweb /Public sau đó close IIS manager lại

* Import OWA Web Site Certificate vào Certificate Store trên máy ISA

Web site certificate phải được import vào certificate store trên máy ISA firewall trước khi sử dụng Web listener cho phép kết nối từ xa vào OWA site.

Dưới đây là các bước thực hiện import certificate

+ Tại máy ISA click Start sau đó chọn Run và nhập lệnh mmc rồi enter

+ Trong Console 1 chọn file menu và click Add/Remove Snap-in

+ Click Add buuton trên dialog box Add/Remove Snap-in

+ Click Certificates sau đó click Add

+ Chọn Computer account trên form Certificates snap-in click Next

+ Trên form Select Computer chọn Local computer sau đó click Finish

+ Close Add Standalone snap-in và click OK trong dialog box Add/Remove Snap-in

+ Right click vào Personal trỏ tới All Task và click Import.

+ Click Next trên form Wellcome to the Certificate Import Winzard

+ Click Browse button và chỉ đến đường dẫn ta đã paste file owacert.pfx

+ Click Next sau khi đã xuất hiện tên và đường dẫn của certificate file trong text box File Name

+ Trên form Password nhập vào password của file. Không tích chọn Mark this key as exportable. This will allow you to back up or transport you keys at a late time sau đó click Next

+ Trên form Certificate store kiểm tra xem đã chọn Place all certificate in the follow store sau đó click Next

+ Sau đó sẽ là form review lại các thiết lập và click Finish

+ Click OK sau khi có thông báo bạn đã Import thành công

+ Sau đó chúng ta sẽ nhìn thấy CA Certificate xuất hiện

Tiếp theo ta kiểm tra xem CA này đã xuất hiện trong Trusted Root Certification Authorities\Certificates. Khi chúng ta sử dụng Enterprise CA nó sẽ tự động được đưa vào Trusted Root Certification Authorities\Certificates. Còn nếu chúng ta sử dụng Standalone CA thì nó sẽ không tự động đưa vào Trusted Root Certification Authorities\Certificates mà chúng ta phải copy và paste chúng vào đó

Trong phần II của bài viết này toi sẽ tiếp tục giới thiệu với các bạn cấu hình hoàn thiện nốt các bước còn lại trong qua trình Public OWA.

- Sử dụng Outlook Web Access Publishing Winzard và sửa HOSTS file trên ISA để truy vấn tới địa chỉ OWA Website

- Gia tăng bảo mật bằng cách yêu cầu xác thực Certificate từ Client bằng Web Requests Listener

- Configure HOST file trên máy OWA client

- Connection OWA Web Site.

 PartIIhttp://www.vnexperts.net/index.php?option=com_content&task=view&id=700&Itemid=1

Theo Vnexperts Research Department.