Генерация SSL-сертификатов для Exchange 2007 и ISA Server 2006

Опубликовано: 10 Апреля, 2023

Если вы начали погружаться в мир Exchange 2007 и SSL, вы уже поняли, что все не так просто, как раньше. Вы больше не можете просто получить стандартный SSL-сертификат и поместить его на сервер Exchange — если вы это сделаете, все пойдет не так, особенно если в вашей сети есть Outlook 2007.


В Интернете есть различные статьи, в которых обсуждаются несколько способов создания SSL-сертификатов с помощью Exchange 2007, однако они часто не принимают во внимание ISA Server. Хитрость Exchange 2007 заключается в том, что SSL используется для самых разных вещей, которые варьируются в зависимости от версии Outlook, для которой роли сервера установлены на коробке.


В этой статье мы обсудим распространенный сценарий, в котором ISA Server используется для подключения к одному серверу Exchange 2007 в конфигурации с разделенным DNS. Мы будем использовать внутренне сгенерированный SSL-сертификат на сервере Exchange и общедоступный SSL-сертификат на ISA-сервере. Разделение между общедоступными и частными сертификатами делает вещи более гибкими для вас, поскольку ваши требования к Exchange меняются внутри компании, и снижает затраты, поскольку требования к сертификатам для Exchange 2007 означают, что вы можете просто получить любой старый сертификат от вашего любимого поставщика.


Вам не нужно иметь огромное развертывание PKI, чтобы это работало, как минимум, ваш ISA Server и серверы Exchange должны доверять корневому каталогу вашего сервера сертификатов! Вашим клиентским компьютерам не нужно доверять корневому каталогу, поскольку Outlook 2007 НЕ проверяет цепочку доверия сертификата SSL для поиска в адресной книге.


Начиная


Если у вас уже есть ISA Server перед Exchange 2003, у вас, вероятно, уже есть общедоступный SSL-сертификат, содержащий обычное имя mail.yourcompany.com, что является отличной отправной точкой. Если у вас нет общедоступного SSL-сертификата для вашего ISA-сервера, самое время его получить.


Кончик:
Подойдет базовый SSL-сертификат. Однако будьте осторожны с тем, у кого вы его покупаете, так как Windows Mobile не доверяет некоторым недорогим поставщикам. Поэтому, если вы хотите использовать ActiveSync, вы должны получить сертификат от поставщика, который поддерживается, в противном случае вам придется установить новый доверенный корневой сертификат на свои мобильные устройства, что может быть очень грязным и трудоемким — и некоторые устройства, заблокированные оператором, могут не работать. разрешить это.


В этом сценарии мы используем сертификат Basic SSL от Entrust с CN mail.vircom.co.uk. Этот сертификат должен быть установлен на ISA Server в хранилище сертификатов компьютера. ВНЕШНЯЯ DNS-запись для ПОЧТЫ хоста должна разрешать внешний IP-адрес на ISA-сервере.


Хотя в этой статье не рассматриваются тонкости создания необходимых правил ISA Server и делегирования аутентификации, имейте в виду, что для ISA Server 2006 доступно обновление для публикации Exchange 2007. Убедитесь, что оно установлено на вашем ISA Server перед публикацией любого Ресурсы Exchange 2007 — загрузка доступна здесь. Обновление для публикации Microsoft Exchange Server 2007 для Microsoft Internet Security and Acceleration (ISA) Server 2006. Если у вас есть существующие правила публикации Exchange 2003, отключите эти правила и запустите мастер правил публикации почтового сервера для создания новые правила публикации Exchange 2007. Рекомендуется создать новые правила с помощью мастера, поскольку Exchange 2007 использует дополнительные веб-папки, которые не используются Exchange 2003. Веб-прослушиватель должен использовать проверку подлинности на основе форм (FBA) и общедоступный сертификат SSL.


Требования SSL-сертификата


На этом этапе все удаленные клиенты (Web, Outlook, Windows Mobile и т. д.) могут разрешать и подключаться к внешней стороне ISA Server с доверенным SSL-сертификатом. Следующий шаг — убедиться, что ISA Server может делать то же самое с сервером Exchange 2007, то есть со второй половиной моста SSL. Для этого нам понадобится SSL-сертификат на сервере Exchange 2007, который будет соответствовать различным требованиям:




  • Основным именем сертификата будет полное доменное имя, начинающееся с MAIL, для обслуживания всех служб Exchange 2007. Это имя будет общим именем (CN), которое в этом сценарии будет MAIL.VIRCOM.CO.UK.


  • Exchange 2007 также настраивается для шифрования TLS с SMTP. Если вы измените объявленное имя службы SMTP, вам необходимо иметь сертификат SSL, соответствующий этому имени, иначе ваш журнал событий будет заполнен ошибками. В этом сценарии служба SMTP настроена на использование SMTP.VIRCOM.CO.UK.


  • Exchange 2007 также должен иметь полное доменное имя, начинающееся с имени узла AUTODISCOVER в сертификате, если вы хотите использовать новую службу автообнаружения. В данном случае это AUTODISCOVER.VIRCOM.CO.UK.


  • Рекомендуется, чтобы доменное имя DNS также было включено в SAN. В данном случае это VIRCOM.CO.UK.


  • Чтобы убедиться, что все другие службы Exchange 2007 продолжают функционировать должным образом, рекомендуется также включить собственное полное доменное имя сервера на основе имени компьютера. В этом сценарии полное доменное имя сервера Exchange — VIRCOM07.VIRCOM.CO.UK.


  • Outlook 2007 будет использовать HTTPS для подключения к адресной книге на сервере Exchange 2007 — даже в локальной сети! Все это часть великого замысла Microsoft по поэтапному отказу от общих папок. Клиент Outlook 2007 будет использовать имя HOST сервера Exchange 2007 (не полное доменное имя) для подключения к службе адресной книги через SSL (изменение части URL-адреса узла для адресной книги в пользовательском интерфейсе Exchange, по-видимому, НЕ имеет никакого эффекта). В этом сценарии имя узла сервера Exchange — VIRCOM07.
    Примечание:
    Если Outlook 2007 не сможет найти имя хоста сервера в сертификате, он отобразит предупреждение для пользователя — вы действительно не хотите, чтобы это произошло! NB: Outlook 2007 поддерживает только проверку имени и даты, а НЕ поиск цепочки сертификатов, поэтому доверенный корень НЕ требуется. Это необходимо для того, чтобы самозаверяющий сертификат, который Exchange 2007 создает во время настройки, функционировал. Если вы используете предыдущую версию Outlook, это не будет проблемой, но планируйте заранее!


  • Вдобавок ко всему этому в ISA 2006 есть ошибка, связанная с общими именами (CN) и альтернативными именами субъекта (SAN). Когда ISA Server соединяет SSL-соединение с веб-сервером с сертификатом, содержащим SAN, он игнорирует CN и только имя совпадает с записью FIRST SAN! Чтобы обойти это, убедитесь, что указанный ПЕРВЫЙ SAN совпадает с CN, которым в этом сценарии является MAIL.VIRCOM.CO.UK.

Примечание:
В случае, когда все роли Exchange 2007 не находятся на одном сервере, все эти требования могут не применяться к одному сертификату.


Создание SSL-сертификата


Одна приятная вещь (хотя их не так много) в новой Power Shell с Exchange 2007 заключается в том, что вы можете генерировать запрос сертификата SSL без необходимости напрямую работать с IIS. Чтобы сгенерировать файл запроса сертификата, запустите Power Shell и выполните следующую команду (соответственно заменив имена хоста и домена):



Это создаст файл запроса сертификата в корне диска C:. Обратите внимание, что SAN в сертификате будут перечислены в том же порядке, в котором они запрашиваются с помощью этой команды, поэтому убедитесь, что FIRST SAN совпадает с CN (mail.vircom.co.uk), чтобы гарантировать, что ISA Server будет можно доверять сертификату.


Затем перейдите к веб-интерфейсу вашего сервера сертификатов Microsoft (обратите внимание на проблемы с использованием веб-интерфейса из Windows Vista. Как использовать веб-страницы регистрации служб сертификации вместе с Windows Vista) и запросите сертификат. Используйте средство администрирования ЦС, чтобы утвердить запрос сертификата. Затем вернитесь в веб-интерфейс, чтобы загрузить утвержденный сертификат в формате BASE 64 на диск C: сервера Exchange 2007, например, c:mail.vircom.co.uk.cer. В консоли Power Shell выполните следующую команду (используя соответствующее имя файла.cer):



На этом создание сертификата SSL будет завершено. Новый сертификат можно увидеть с помощью оснастки MMC «Сертификаты». Несмотря на то, что сертификат был создан, Exchange еще необходимо настроить для его использования.


Настройка Exchange 2007 с новым SSL-сертификатом


Чтобы настроить Exchange 2007 для использования сертификата, вы должны предоставить отпечаток сертификата, поэтому сначала нам нужно выяснить, что является отпечатком нашего нового сертификата. В консоли Power Shell выполните следующую команду (используя соответствующее имя CN):



Примечание:
Убедитесь, что вы используете отпечаток сгенерированного сертификата веб-сайта, а не отпечаток самозаверяющего сертификата, который был автоматически создан программой установки MS Exchange.


Список сведений о сертификатах будет представлен для сертификатов, содержащих ваше CN. Обратите внимание на отпечаток вновь созданного сертификата. В консоли Power Shell выполните следующую команду (используя соответствующий отпечаток):



Это настроит службы IIS (другими словами HTTP) и SMTP в Exchange 2007 для использования нового сертификата. Вы также можете настроить IMAP, POP и UM (единую систему обмена сообщениями) для использования определенного сертификата, если это необходимо, включив «IMAP, POP, UM» в список служб для вышеуказанной команды. Не все службы должны использовать один и тот же сертификат, но вы можете это сделать, если хотите. Просто убедитесь, что в исходном запросе сертификата настроено правильное имя хоста, если вы используете разные имена хостов для разных служб, например, может потребоваться imap.vircom.co.uk.


Предупреждение:
Во время тестирования было обнаружено, что при запуске IISRESET или перезагрузке Exchange Server IIS иногда случайным образом возвращается к использованию исходного SSL-сертификата. Стоит дважды проверить в IIS, чтобы убедиться, что веб-сайт использует новый сертификат после перезапуска.


Как часть разделенной конфигурации DNS, запись хоста для MAIL.VIRCOM.CO.UK во ВНУТРЕННЕЙ зоне разрешается на сервер Exchange 2007, а НЕ на ISA Server. Это делается для того, чтобы ISA Server мог установить соединение с сервером Exchange 2007, используя то же имя, что и внешний клиент, что позволяет избежать проблем с преобразованием имен. Это также означало, что когда клиенты находятся во внутренней сети, они обращаются к одним и тем же URL-адресам с обеих сторон ISA-сервера, что намного меньше сбивает с толку конечных пользователей.


Служба автообнаружения


Если вы хотите использовать новую службу автообнаружения в Exchange 2007 при работе в Интернете, у вас есть несколько вариантов:




  1. Настройте отдельный веб-прослушиватель на ISA Server с отдельным базовым общедоступным SSL-сертификатом для AUTODISCOVER.YOURCOMPANY.COM. Настройте ВНЕШНИЙ DNS для разрешения АВТООБНАРУЖЕНИЯ на IP-адрес нового прослушивателя и используйте новый веб-прослушиватель в правиле ISA, которое опубликовало функцию автообнаружения. Этот параметр легко настроить, однако для нового веб-прослушивателя потребуется отдельный IP-адрес.


  2. Замените существующий общедоступный SSL-сертификат новым общедоступным групповым сертификатом. Затем вы можете использовать тот же веб-прослушиватель на ISA Server. Этот вариант является более дорогим, и у вас возникнут проблемы с использованием устройств Windows Mobile. Однако Windows Mobile 6 поддерживает подстановочные сертификаты.