Защита OWA 2003 с использованием бесплатного SSL-сертификата стороннего производителя

Введение.

Статья Защита OWA 2003 с использованием собственного центра сертификации, которую я написал в начале 2004 года, стала одной из самых популярных на MSExchange.org (на данный момент за нее проголосовали 402 человека со средней оценкой 4.6). Это могло бы удовлетворить любого автора, но что скрывается за этим успехом? Одним из ответов будет то, что пользователи не хотят тратить сотни долларов на такие вещи как SSL-сертификат. Скорее всего, они потратят больше времени на защиту OWA-сайта, если это можно будет сделать бесплатно.

Пришло время написать еще одну статью о другом неплохом методе защиты OWA-сайта и виртуальных каталогов с помощью SSL. Я расскажу вам, как можно использовать бесплатный SSL-сертификат от стороннего производителя. Нет, я не говорю о жадных производителях 30-дневных пробных сертификатов вроде VeriSign и других. Не очень здорово использовать 30-дневные бесплатные версии сертификатов, зная, что затем придется платить от пятидесяти до нескольких сотен долларов в год, совсем не здорово.

Кто же предлагает бесплатные SSL-сертификаты? Хотите верьте, хотите нет, но это израильская компания Startcom Ltd., известная своей версией Linux (Startcom Linux). Эта компания уверена, что права на SSL-сертификат не должны зависеть от финансовых возможностей индивидуума и/или организации. Не могу с ними не согласиться.

В данной время сертификату от Starcom не доверяют такие браузеры как Internet Explorer, FireFox, Mozilla и др., но в настоящий момент такие производители как Microsoft и Mozilla проводят аудит Starcom, поэтому можно надеяться, что в ближайшем будущем эти браузеры будут доверять данному сертификату по умолчанию. Значит ли это, что я собираюсь обучать пользователей устанавливать сертификат вручную (или с использованием метода, описанного в бюллетене Microsoft 297681 - Появление сообщения об ошибке «Сертификат выдан организацией, не входящей в состав доверенных», для того чтобы не видеть предупреждающее сообщение о безопасности, показанное на рисунке 1? Нет, не значит.

Рисунок 1: Предупреждение сертификата безопасности.

К счастью, Startcom предлагает достаточно остроумное решение, которое автоматически устанавливает сертификат, а затем перенаправляет пользователей обратно на страницу форм аутентификации OWA-сайта (подробнее об этом позже).

Подготовка OWA-сервера.

Сначала на сервере Exchange запустите консоль управление IIS-сервера, раскройте узел Local Computer > Web Sites (Локальный компьютер > Web-сайты) и выберите Properties (Свойства) в записи Default Web Site (Web-сайт по умолчанию). Теперь выберите закладку Directory Security (Безопасность), и вы увидите окно, показанное на рисунке 2.

Замечание.

Если в вашей сети используется конфигурация с внешним/внутренним сервером, следует разрешать SSL только на внешнем сервере (серверах). Другими словами, в такой ситуации все описанные ниже процедуры следует производить только на внешнем сервере (серверах).

Рисунок 2: Закладка безопасности

Теперь нажмите кнопку Server Certificate (Сертификат сервера), выберите Create a new certificate (Создать новый сертификат), а затем нажмите Next (Далее), как показано на рисунке 3.

Рисунок 3: Создание нового сертификата

Выберите Prepare the request now, but send it later (подготовить запрос сейчас, но отослать его позже), затем нажмите Next (Далее) (Рисунок 4).

Рисунок 4: Отложить или отправить запрос немедленно

Введите описание для сертификата (например, OWA SSL Certificate), затем нажмите Next (Далее) (Рисунок 5).

Рисунок 5: Описание сертификата

Теперь введите название организации в поле Organization name (Название организации) и организационную единицу в поле Organizational unit (Организационная единица) (Рисунок 6), затем нажмите Next (Далее).

Рисунок 6: Организация и организационная единица

Теперь введите простое имя, которое должно быть внешним FQDN (Fully Qualified Domain Name – полностью определенное имя домена) вашего Exchange-сервера, т.е. адрес, который набирают пользователи для доступа к OWA-сайту через Интернет. Обычно простое имя имеет вид mail.domain.com, owa.domain.com или webmail.domain.com, А НЕ https://mail.domain.com, webmail.domain.com/exchange или IP-адрес. Может сложиться впечатление, что я слишком глубоко вникаю в детали, но вы не поверите, сколько проблем с OWA-сайтом возникало из-за неправильно указанного простого имени в SSL-сертификате. Так что на всякий случай лучше объяснить все подробно.

Замечание.

Поскольку многие (особенно маленькие и средние) организации не публикуют Exchange-сервер напрямую в Интернет, а используют частный IP-адрес, они отдают управление внешними настройками DNS своему провайдеру. В большинстве случает провайдер создает так называемую A запись с именем mail.domain.com, которое указывает на внешний IP-адрес компании, а затем запросы направляются по 443-му порту на внутренний IP-адрес сервера Exchange.

После ввода простого имени в поле Common Name (Простое имя) (рисунок 7) нажмите Next (Далее).

Рисунок 7: Простое имя OWA-сервера

Введите Регион/Страну, Штат/Область и Город/Населенный пункт и нажмите Next (Далее).

Рисунок 8: Географическая информация

Укажите место расположения и имя файла, в котором вы хотите сохранить информацию о сертификате, а затем нажмите Next (Далее) (эту информацию затем нужно будет скопировать в форму на сайте Startcom).

Рисунок 9

Нажмите Next (Далее), затем Finish (Завершить).

Запрос сертификата у Startcom.

Настало время получить сертификат от Startcom. Первое, что следует сделать, это открыть файл certreg.txt и скопировать его содержимое в буфер обмена, затем щелкните по этой ссылке для запуска Мастера сертификатов. Выберите Class 1 Certificate (Сертификат 1 класса) и нажмите Continue (Продолжить). Поскольку мы собираемся использовать сертификат на web-сервере IIS, выберите опцию Server Certificate (Without CSR generation) (Сертификат сервера (без генерации запроса подписи сертификата)), затем нажмите Continue (Продолжить). Теперь заполните форму персональной информации и нажмите Continue (Продолжить).

Замечание. Очень важно, чтобы во время регистрации вы использовали настоящий адрес электронной почты, к которому у вас есть постоянный доступ. Тоже самое относится и к вашему имени, адресу и т.д. Если этого не сделать, то в худшем случае ваш IP-адрес и домен будут блокированы сайтом Startcom.

Следует вставить текст из файла certreg.txt в форму в конце страницы, а затем снова нажать Continue (Продолжить). После выполнения запроса (это займет пару секунд) выберите один из указанных адресов электронной почты (требуется для получения кода подтверждения, который нужно ввести после нажатия кнопки Continue (Продолжить)). Если ни один из этих адресов не существует в Active Directory вашей сети, создайте его и затем нажмите Continue (Продолжить). Введите полученный код подтверждения (если код не получен, проверьте фильтры нежелательной почты вашей сети) и нажмите Continue (Продолжить). Теперь вставьте текст из формы в файл (дайте ему имя SSL.CRT или что-нибудь подобное) и сохраните его на диске C:\ сервера OWA и нажмите Continue (Продолжить). Теперь вы можете подтвердить сертификат и установить центр сертификации и промежуточный центр (требуется для IIS). Обратите внимание, что, если вы не запускали мастер сертификата из браузера на сервере OWA, вы можете пропустить эти шаги и сделать позже все вручную.

Запуск отложенного запроса.

Возвращаемся на OWA-сервер, открываем консоль управление IIS-сервера (если вы ее закрыли), затем раскрываем и щелкаем правой кнопкой на Default Web Site (Web-сайт по умолчанию). Выберите закладку Directory Security (Безопасность), затем нажмите Server Certificate (Сертификат сервера) > Next (Далее), выберите пункт Process the pending request and install the certificate (Запустить отложенный запрос и установить сертификат) и нажмите Next (Далее) (Рисунок 10).

Рисунок 10: Запуск отложенного запроса

Введите путь к файлу SSL.CRT, содержащему сертификат (путь должен быть C:\ssl.crt, если только вы не указали другой), затем нажмите Next (Далее) > примите установки SSL порта по умолчанию (SSL port (443)) и нажмите Next (Далее) (интересно, сколько раз мы уже нажали Next и Continue?). Теперь подтвердите сводный сертификат, нажмите Next (Далее), затем Finish (Завершить).

Прежде чем разрешить SSL-сертификат на web-сайте по умолчанию, следует сделать еще одну процедуру, но только в том случае, если вы не запускали мастер сертификата Startcom на сервере OWA, и потому установили сертификаты центра сертификации и промежуточного центра в хранилище Trusted Root Certification Authorities (Доверенные корневые центры сертификации).

Откройте пустую консоль MMC на OWA-сервере: нажмите Start (Пуск) > Run (Выполнить), введите MMC и нажмите Enter. Затем в меню выберите File (Консоль) > Add/Remove Snap-in (Добавить/удалить оснастку), нажмите Add (Добавить) и выберите Certificates (сертификаты) (Рисунок 11).

Рисунок 11: Добавление оснастки Сертификаты

Выберите Computer Account (Учетная запись компьютера), затем Local Computer (Локальный компьютер), нажмите Next (Далее) > Close (Закрыть) и Ok.

Рисунок 12: Выбор учетной записи компьютера

Теперь раскройте Trusted Root Certification Authorities (Доверенные корневые центры сертификации) > Certificates (Сертификаты) и щелкните левой кнопкой по контейнеру Certificates (Сертификаты). Выберите All tasks (Все задачи) > Import (Импорт) (Рисунок 13).

Рисунок 13: Импорт сертификата в Доверенные корневые центры сертификации

Появится окно мастера сертификатов. Нажмите Next (Далее), затем укажите путь к файлу CA.СER (Рисунок 14) и снова нажмите Next (Далее).

Рисунок 14: Путь к файлу CA.СER

Подтвердите хранение сертификата в Trusted Root Certification Authorities (Доверенные корневые центры сертификации) (Рисунок 15), нажмите Next (Далее), затем Finish (Завершить) > OK.

Рисунок 15: Хранилище сертификатов

Теперь проделайте то же самое для сертификата sub.class1.server.ca.cer, и для сертификата собственного сервера OWA (SSL-CRT). Все сертификаты добавлены в хранилище, как показано на рисунках 16, 17 и 18.

Рисунок 16: Бесплатный центр сертификации SSL

Рисунок 17: Центр сертификации Startcom

Рисунок 18: Сертификат сервера Exchange

Разрешение SSL на web-сайте по умолчанию.

Для разрешения SSL на web-сайте по умолчанию откройте консоль управления IIS и выберите Properties (Свойства) в записи Default Web Site (Web-сайт по умолчанию). Теперь выберите закладку Directory Security (Безопасность) и в разделе Secure Communications (Безопасные соединения) нажмите кнопку Edit (Изменить) (Рисунок 19).

Замечание.

В зависимости от вашего сервера Exchange (один сервер или конфигурация с внешним/внутренним сервером), так же как и от существования не относящихся к Exchange-серверу виртуальных каталогов на web-сайте по умолчанию, можно разрешить SSL на виртуальных каталогах Exchange и Public, а не на всем сайте. Также учтите, что разрешение SSL на web-сайте по умолчанию может привести к проблемам с OMA (Outlook Mobile Access – мобильный доступ к Outlook) и ActiveSync. Для детального изучения этой проблемы смотри статью 817379 -Появление сообщений об ошибках при подключении к серверу Exchange Server 2003 с помощью Exchange ActiveSync или Outlook Mobile Access, если для подключения требуется протокол SSL или проверка подлинности на основе форм.

Рисунок 19: Кнопка Edit (Изменить)

Отметьте опции Require secure channel (SSL) (Требовать безопасный канал (SSL)) и Require 128-bit encryption (Требовать 128-битное шифрование) (Рисунок 20), поскольку большинство современных web-браузеров поддерживают 128-битное шифрование.

Рисунок 20: Разрешение требования безопасного канала SSL и 128-битного шифрования

Дважды нажмите Ok и закройте консоль управлении IIS. Теперь мы рассмотрим клиентскую сторону для того, чтобы убедиться, что SSL-соединение с OWA-сайтом работает правильно.

Работаем со стороны клиента.

Настало время зайти на наш OWA-сайт, защищенный SSL, набрав в браузере: https://mail.exchangedogfood.dk/exchange. Как вы можете догадаться, мы получаем предупреждающее сообщение о безопасности, показанное на рисунке 1. Причина этого, как вы помните, в том, что сертификат, выданный Startcom, по умолчанию не является доверенным для популярных браузеров, таких как Internet Explorer, FireFox, Mozilla и других. Это значит, что для того, чтобы избавиться от предупреждающего сообщения, следует установить сертификат каждому клиенту, который будет заходить на OWA-сайт. Ранее в статье я вскользь упомянул о том, что Starcom создал интересный сайт, на который вы можете сделать ссылку, например, на странице с формой аутентификации сайта OWA 2003. Если вы это сделаете, пользователи просто будут щелкать по этой ссылке для установки сертификата, а затем, после установки сертификата, они будут автоматически перенаправлены обратно на страницу регистрации. (Примерная страница показана на рисунке 21).

Замечание.

Если вы не знаете, как изменить страницу с формой аутентификации, просмотрите ссылки в разделе Статьи по данной теме в конце этой статьи.

 

Рисунок 21: Страница ввода учетных данных OWA-сайта с ссылкой на установку сертификата Startcom.

При нажатии на логотип Startcom, что приведет на сайт http://cert.startcom.org/index.php?app=109 (без использования нового окна), вы, в зависимости от того, установлена ли у клиента Windows XP SP2, получите пару предупреждений. С ними следует соглашаться до тех пор, пока не появится диалоговое окно, показанное на рисунке 22. После нажатия OK вы будете перенаправлены назад на страницу с формой аутентификации, и в будущем больше не будете получать предупреждений о безопасности.

Рисунок 22: Заключительное диалоговое окно

Резюме.

Зачем разрешать сторонним производителям вроде многомиллионных компаний VeriSign, RapidSSL, InstantSSL, Entrust и др. брать несколько сотен долларов в год за предоставление простого сертификата? И еще – разве это честно, называть 30-дневный сертификат бесплатным? Не думаю.

Настало время изменить рынок и поддержать такие компании как Startcom, чтобы действительно бесплатные сертификаты поддерживались такими браузерами, как Internet Explorer, FireFox, Mozilla, Opera и др.

Статьи по данной теме.

Сайт бесплатного SSL-проекта компанииStartcom: http://cert.startcom.org

Изменение станицы аутентификации на основе форм OWA 2003: http://www.msexchange.org/tutorials/Customizing-OWA-2003-Forms-Based-Authentication-Logon.html

Изменение страницы ввода учетных записей OWA-сайта: http://www.microsoft.com/technet/prodtechnol/exchange/guides/CustomizingOWALogonPa/720b0cd2-fb9a-4538-ab6f-681353315582.mspx