Предварительная аутентификация LDAP с брандмауэрами ISA 2006: Использование LDAP для предварительной аутентификации доступа к OWA (Часть 2)

Опубликовано: 11 Апреля, 2023

  • Предварительная аутентификация LDAP с брандмауэрами ISA 2006: использование LDAP для предварительной аутентификации доступа к OWA (часть 1)

Экспорт сертификата веб-сайта MSFIREWALL.ORG OWA в файл, включая закрытый ключ сайта

ISA Firewall олицетворяет веб-сайт OWA, когда клиент OWA устанавливает первую SSL-связь между собой и ISA Firewall. Чтобы брандмауэр ISA сделал это, вы должны экспортировать сертификат веб-сайта и импортировать этот сертификат в хранилище сертификатов компьютера брандмауэра ISA.

Обсудить эту статью

Важно, чтобы вы экспортировали закрытый ключ веб-сайта при экспорте сертификата в файл. Если закрытый ключ не включен в файл, вы не сможете привязать сертификат к веб-прослушивателю на брандмауэре ISA, и правила веб-публикации не будут работать.

Выполните следующие шаги, чтобы экспортировать сертификат веб-сайта с закрытым ключом в файл:

  1. В консоли диспетчера служб IIS (IIS) разверните узел Веб-сайты на левой панели консоли и щелкните Веб-сайт по умолчанию. Щелкните правой кнопкой мыши веб-сайт по умолчанию и выберите «Свойства».
  2. В диалоговом окне Свойства веб-сайта по умолчанию щелкните вкладку Безопасность каталога.
  3. На вкладке «Безопасность каталога» нажмите кнопку «Просмотр сертификата» в рамке «Безопасная связь».
  4. В диалоговом окне Сертификат щелкните вкладку Сведения. На вкладке «Сведения» нажмите кнопку «Копировать в файл».

фигура 1

  1. Нажмите «Далее» на странице «Добро пожаловать в мастер экспорта сертификатов».
  2. На странице «Экспорт закрытого ключа» выберите вариант «Да, экспортировать закрытый ключ» и нажмите «Далее».


фигура 2

  1. На странице Формат файла экспорта выберите параметр Обмен личной информацией — PKCS #12 (.PFX). Установите флажок Включить все сертификаты в путь сертификации, если это возможно, и снимите флажок Включить надежную защиту (требуется IE 5.0, NT 4.0 SP4 или выше). Нажмите «Далее».


Рисунок 3

  1. На странице «Пароль» введите пароль, а затем введите его еще раз в поле «Подтверждение пароля». Нажмите «Далее».
  2. На странице «Файл для экспорта» введите c:OWAsiteCert в текстовом поле «Имя файла ». Нажмите «Далее».
  3. Нажмите «Готово» на странице «Завершение работы мастера экспорта сертификатов».
  4. Нажмите OK в диалоговом окне Сертификат.
  5. Нажмите «ОК» в диалоговом окне «Свойства веб-сайта по умолчанию».
  6. Скопируйте файл OWAsiteCert.pfx в корень диска C: на компьютере с ISA Firewall.

Теперь нам нужно повторить процедуры на Exchange Server в домене pixkiller.net:

  1. На компьютере dc.pixkiller.net нажмите «Пуск» и выберите «Администрирование». Щелкните Диспетчер информационных служб Интернета (IIS).
  2. На левой панели консоли диспетчера служб IIS (Internet Information Services) разверните узел Веб-сайты и щелкните Веб-сайт по умолчанию. Щелкните правой кнопкой мыши Веб-сайт по умолчанию и выберите Свойства.
  3. В диалоговом окне Свойства веб-сайта по умолчанию щелкните вкладку Безопасность каталога.
  4. На вкладке «Безопасность каталога» нажмите кнопку « Сертификат сервера» во фрейме «Безопасная связь».


Рисунок 4

  1. На странице приветствия мастера сертификатов веб-сервера нажмите кнопку Далее.
  2. На странице «Сертификат сервера» выберите параметр «Создать новый сертификат» и нажмите «Далее».


Рисунок 5

  1. На странице «Отложенный или немедленный запрос» выберите параметр « Отправить запрос немедленно в сетевой центр сертификации» и нажмите « Далее».


Рисунок 6

  1. На странице «Параметры имени и безопасности» примите параметры по умолчанию и нажмите «Далее».
  2. На странице «Информация об организации» введите название вашей организации в текстовом поле «Организация» и название вашего организационного подразделения в текстовом поле «Подразделение». Нажмите «Далее».


Рисунок 7

  1. На странице Общее имя вашего сайта введите общее имя сайта. Общее имя — это имя, которое внешние и внутренние пользователи будут использовать для доступа к сайту. Например, если пользователи вводят в браузере https://owa.pixkiller.net для доступа к OWA-сайту, вы должны использовать обычное имя owa.msfirewall.org. В нашем текущем примере мы введем owa.pixkiller.net в текстовое поле «Общее имя». Это критический параметр. Если вы не введете правильное общее имя, вы увидите ошибки при попытке подключения к защищенному сайту OWA. Нажмите «Далее».


Рисунок 8

  1. На странице «Географическая информация» введите в текстовые поля свою страну/регион, штат/область и город/населенный пункт. Нажмите «Далее».
  2. На странице «Порт SSL» примите значение по умолчанию, 443, в порту SSL, который этот веб-сайт должен использовать в текстовом поле. Нажмите «Далее».
  3. На странице Выбор центра сертификации примите выбор по умолчанию в списке Центры сертификации и нажмите Далее.


Рисунок 9

  1. Проверьте настройки на странице отправки запроса на сертификат и нажмите кнопку Далее.
  2. Нажмите «Готово» на странице «Завершение работы мастера сертификатов веб-сервера».
  3. Обратите внимание, что кнопка View Certificate теперь доступна. Это указывает на то, что сертификат веб-сайта привязан к веб-сайту OWA и может использоваться для обеспечения безопасных подключений SSL к веб-сайту.


Рисунок 10

  1. Нажмите «ОК» в диалоговом окне «Свойства веб-сайта по умолчанию».

Обсудить эту статью

Экспорт сертификата веб-сайта PIXKILLER.NET OWA в файл, включая закрытый ключ сайта

ISA Firewall олицетворяет веб-сайт OWA, когда клиент OWA устанавливает первую SSL-связь между собой и ISA Firewall. Чтобы брандмауэр ISA сделал это, вы должны экспортировать сертификат веб-сайта и импортировать этот сертификат в хранилище сертификатов компьютера брандмауэра ISA.

Важно, чтобы вы экспортировали закрытый ключ веб-сайта при экспорте сертификата в файл. Если закрытый ключ не включен в файл, вы не сможете привязать сертификат к веб-прослушивателю на брандмауэре ISA, и правила веб-публикации не будут работать.

Выполните следующие шаги, чтобы экспортировать сертификат веб-сайта с закрытым ключом в файл:

  1. В консоли диспетчера служб IIS (IIS) разверните узел Веб-сайты на левой панели консоли и щелкните Веб-сайт по умолчанию. Щелкните правой кнопкой мыши веб-сайт по умолчанию и выберите «Свойства».
  2. В диалоговом окне Свойства веб-сайта по умолчанию щелкните вкладку Безопасность каталога.
  3. На вкладке «Безопасность каталога» нажмите кнопку «Просмотр сертификата» в рамке «Безопасная связь».
  4. В диалоговом окне Сертификат щелкните вкладку Сведения. На вкладке «Сведения» нажмите кнопку «Копировать в файл».


Рисунок 11

  1. Нажмите «Далее» на странице «Добро пожаловать в мастер экспорта сертификатов».
  2. На странице «Экспорт закрытого ключа» выберите вариант «Да, экспортировать закрытый ключ» и нажмите «Далее».


Рисунок 12

  1. На странице Формат файла экспорта выберите параметр Обмен личной информацией — PKCS #12 (.PFX). Установите флажок Включить все сертификаты в путь сертификации, если это возможно, и снимите флажок Включить надежную защиту (требуется IE 5.0, NT 4.0 SP4 или выше). Нажмите «Далее».


Рисунок 13

  1. На странице «Пароль» введите пароль, а затем введите его еще раз в поле «Подтверждение пароля». Нажмите «Далее».
  2. На странице «Файл для экспорта» введите c:OWAcertPIXkiller в текстовом поле «Имя файла». Нажмите «Далее».
  3. Нажмите «Готово» на странице «Завершение работы мастера экспорта сертификатов».
  4. Нажмите OK в диалоговом окне Сертификат.
  5. Нажмите «ОК» в диалоговом окне «Свойства веб-сайта по умолчанию».
  6. Скопируйте файл OWAcerPIXkiller.pfx в корень диска C: на компьютере с ISA Firewall.

Скопируйте сертификаты веб-сайта и сертификаты ЦС на брандмауэр ISA и установите эти сертификаты в хранилище сертификатов компьютера брандмауэра ISA.

Сертификаты веб-сайтов должны быть импортированы в хранилище сертификатов компьютеров брандмауэра ISA, прежде чем их можно будет привязать к веб-прослушивателю. Только после того, как сертификаты веб-сайта (вместе с их закрытыми ключами) будут импортированы в хранилище сертификатов компьютера брандмауэра, сертификат будет доступен для привязки.

Выполните следующие шаги, чтобы импортировать сертификат веб-сайта OWA-сервера msfirewall.org в хранилище сертификатов компьютеров ISA Server (вы повторите процедуру с сертификатом веб-сайта pixkiller.net после импорта сертификата msfirewall.org ):

  1. На брандмауэре ISA нажмите кнопку «Пуск» и выберите команду «Выполнить». Введите mmc в текстовое поле «Открыть» и нажмите «ОК». В консоли Console 1 щелкните меню «Файл» и выберите команду «Добавить/удалить оснастку».
  2. Нажмите кнопку «Добавить » в диалоговом окне «Добавить/удалить оснастку».
  3. Щелкните запись «Сертификаты» в списке «Доступные автономные оснастки» в диалоговом окне «Добавить автономную оснастку». Щелкните Добавить.
  4. Выберите параметр «Учетная запись компьютера» на странице оснастки «Сертификаты». Нажмите «Далее».
  5. На странице «Выбор компьютера» выберите параметр «Локальный компьютер: (компьютер, на котором запущена эта консоль)» и нажмите «Готово».
  6. Нажмите «Закрыть» на странице «Добавить автономную оснастку».
  7. Нажмите «ОК» в диалоговом окне «Добавить/удалить оснастку».
  8. Щелкните правой кнопкой мыши узел «Личные» в левой панели консоли, выберите «Все задачи» и нажмите «Импорт».
  9. Нажмите «Далее» в окне «Добро пожаловать в мастер импорта сертификатов».
  10. Нажмите кнопку Обзор и найдите файл сертификата C:OWAsiteCert.pfx. Нажмите «Далее» после того, как путь и имя файла появятся в текстовом поле «Имя файла ».


Рисунок 14

  1. На странице Пароль введите пароль для файла. Не ставьте галочку в поле Пометить этот ключ как экспортируемый. Это позволит вам создать резервную копию или перенести ключи в позднее время. Не следует использовать этот параметр, так как эта машина является хостом-бастионом с интерфейсом в демилитаризованной зоне или в Интернете и может быть скомпрометирована. Компрометатор может украсть закрытый ключ с этой машины, если она помечена как экспортируемая. Нажмите «Далее».
  2. На странице «Хранилище сертификатов» убедитесь, что выбран параметр «Поместить все сертификаты в следующее хранилище» и что в поле «Хранилище сертификатов» указано «Личное». Нажмите «Далее».
  3. Проверьте настройки на странице «Завершение импорта сертификата» и нажмите «Готово».
  4. Нажмите «ОК» в диалоговом окне «Мастер импорта сертификатов», информируя вас об успешном импорте.
  5. Вы увидите сертификат веб-сайта и сертификат ЦС на правой панели консоли. Сертификат веб-сайта имеет полное доменное имя, назначенное веб-сайту. Это имя, которое внешние пользователи используют для доступа к сайту OWA. Сертификат CA должен быть помещен в хранилище Trusted Root Certification AuthoritiesCertificates, чтобы этот компьютер доверял установленному на нем сертификату веб-сайта. Дважды щелкните сертификат веб-сайта на правой панели консоли.
  6. Разверните узел Доверенные корневые центры сертификации в левой панели консоли и щелкните узел Сертификаты. Вам необходимо скопировать сертификат ЦС предприятия в узел Trusted Root Certification AuthoritiesCertificates. Это можно сделать, щелкнув правой кнопкой мыши сертификат ЦС и выбрав команду «Вырезать». Затем вы должны щелкнуть узел Trusted Root Certification AuthoritiesCertificates и нажать кнопку «Вставить» на панели кнопок mmc.


Рисунок 15

  1. Повторите процедуру, чтобы импортировать сертификат веб-сайта pixkiller.net в хранилище сертификатов компьютера брандмауэра ISA. Нам нужны импортированные сертификаты веб-сайтов msfirewall.org и pixkiller.net, прежде чем мы сможем продолжить. Убедитесь, что вы вставили сертификат ЦС pixkiller.net в узел Доверенные корневые центры сертификацииСертификаты. Это будет иметь решающее значение позже, когда мы настроим аутентификацию LDAPS между брандмауэром ISA Firewall и контроллерами домена.

Настройте записи файла HOSTS на брандмауэре ISA.

ISA Firewall должен иметь возможность разрешать имена серверов Exchange для выполнения аутентификации LDAPS. Как вы увидите позже, когда мы будем настраивать серверы LDAP в консоли брандмауэра ISA, нам нужно, чтобы брандмауэр ISA мог использовать аутентификацию сертификата при общении с контроллерами домена с помощью LDAPS. ISA Firewall должен иметь возможность преобразовывать полные доменные имена контроллеров домена в их фактические IP-адреса.

Это можно сделать несколькими способами, например, настроить внутренний интерфейс брандмауэра ISA на использование DNS-сервера, способного разрешать имена для обоих доменов. Однако, если вы не хотите этого делать, вы всегда можете воспользоваться решением для бедняков и создать записи в файле HOSTS на брандмауэре ISA для разрешения этих имен.

ПРИМЕЧАНИЕ:
Раньше нам приходилось создавать записи в файле HOSTS для общих/тематических имен в сертификатах, чтобы они разрешались в фактические IP-адреса веб-сайтов OWA во внутренней сети. Брандмауэр ISA 2006 улучшен тем, что он отделил имя, используемое в СОЕДИНЕНИИ, от имени/адресов, используемых для пересылки СОЕДИНЕНИЯ. По этой причине вам больше не нужно создавать записи файла HOSTS для общих имен/тематических имен в сертификатах веб-сайта OWA.

Файл HOSTS находится в папке WindowsSystem32driversetc. Откройте файл HOSTS и поместите в него записи для серверов Exchange. В нашем примере мы вводим следующие записи файла HOSTS:

Exchange2003be.msfirewall.org 10.0.0.2
dc.pixkiller.net 10.0.0.3

Вы можете увидеть эти записи на рисунке ниже.


Рисунок 16

Вы можете проверить эффективность ваших записей в файле HOSTS, пропинговав имена из брандмауэра ISA с помощью командной строки, как показано на рисунке ниже.


Рисунок 17

Обсудить эту статью

Резюме

В этой статье мы продолжили серию статей о том, как настроить аутентификацию LDAP на ISA Firewall. Мы развернули сертификаты и настроили файл HOSTS на брандмауэре ISA, чтобы разрешение имен соответствовало соглашениям об именовании сертификатов. В следующей статье мы настроим параметры сервера LDAP на брандмауэре ISA. Тогда увидимся! -Том.

  • Предварительная аутентификация LDAP с брандмауэрами ISA 2006: использование LDAP для предварительной аутентификации доступа к OWA (часть 1)