Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Как «прикрутить» SSL сертификат в Exchange 2007 ?

Почему собственно возник такой вопрос? Да потому, что попытавшись сделать это на IIS 7 в win2008, я не обнаружил вот такой кнопки, как в iis 6:

Соответственно возник вопрос: Что необходимо сделать, чтоб не возникало вот такое окно?

Соответственно для этого, нам потребуется воспользоваться каким нибудь сертификатом. Можно конечно обратиться к платному центру сертификации, но зачем? Этот метод наверно популярен за бугром, но мы, простые русские люди, безгранично любящие халяву, не можем себе такого позволить, посему выхода два:

  • Развернуть собственный полноценный сервер сертификации (Certification Autority).
  • Воспользоваться командами Power Shell (это наиболее быстрый вариант)
  • Воспользоваться утилитой selfssl.exe (кстати, это актуально и для exchange2003).

А теперь подробней:

Открываем Power Shell, и набираем следующие команды:

1) New-ExchangeCertificate

2) Enable-ExchangeCertificate –Thumbprint <thumbprint> -Services “IIS”

3) Import-ExchangeCertificate –Path c:\exported_cert.pfx –Password:(Get-Credential).password

4) Применяем на Exchange

Развернув Центр Сертификации, вы можете обеспечить автоматический выпуск сертификатов по запросу пользователей. Следить за выданными сертификатами, а так же отзывать их при необходимости. Если же вам требуется выпустить всего один сертификат, чтобы обеспечить безопасную работу с корпоративным порталом, или с электронной почтой через OWA, то проще будет воспользоваться утилитой selfssl.exe.

Утилита selfssl.exe входит в комплект пакета IIS6 Resource Kit Tools. Данный пакет является бесплатным и доступен для свободного скачивания с сайта Microsoft — http://www.microsoft.com/downloads/details.aspx?familyid=56FC92EE-A71A-4C73-B628-ADE629C89499 Загрузив пакет, запустите его. После запуска вы увидите окно установки.

 

Выберите метод установки Custom и нажмите Next для продолжения установки.

 

Затем выберите путь для установки или оставьте тот, что уже указан, и нажмите Next

Пакет включает в себя много утилит. Нас же интересует только одно. Снимите все флажки кроме одного, как показано на рисунке выше. Затем нажмите Next.

Запустить установленную утилиту можно из меню Пуск, как показано на рисунке.

Как видно параметров, которые можно задать, довольно много. Давайте попробуем разобраться с каждым из них:

  /N:CN задает имя вашего сайта, например owa.contoso.com.

  /K: задает длину ключа. Значение по умолчанию 1024.

  /V: количество дней до окончания действия сертификата.

  /S: номер сайта в IIS. По умолчанию равен 1.

  /P: номер порта. Стандартом является 443. Это же значение задано по умолчанию.

Например, вы решили выпустить сертификат для сайта owa.contoso.com сроком на один год. Нет ничего проще! Наберите следующую команду:

selfssl /N:cn=owa.contoso.com /V:365

И нажмите Ввод.

На вопрос “Do you want to replace the SSL settings for site 1 (Y/N)?” нажмите “y”. Если у вас не установлен IIS то вы получите сообщение “Error opening metabase: 0x80040154” – просто игнорируйте его.

Сертификат выпущен. Теперь вы можете делать с ним все, что угодно. Например, установить на ваш WEB-сайт. Давайте посмотрим, как это сделать. Для начала вам нужно выгрузить ваш сертификат. Для этого запустите Microsoft Management Console (MMC). Нажмите Пуск->Выполнить…-> наберите mmc и нажмите ввод.

В появившемся окне нажмите Add…

Пакет включает в себя много утилит. Нас же интересует только одно. Снимите все флажки кроме одного, как показано на рисунке выше. Затем нажмите Next.

Запустить установленную утилиту можно из меню Пуск, как показано на рисунке.

Запустив утилиту, вы увидите окно командной строки, в котором, задав необходимые параметры, вы сможете выпустить свой собственный сертификат безопасности.

Как видно параметров, которые можно задать, довольно много. Давайте попробуем разобраться с каждым из них:

  /N:CN задает имя вашего сайта, например owa.contoso.com.

  /K: задает длину ключа. Значение по умолчанию 1024.

  /V: количество дней до окончания действия сертификата.

  /S: номер сайта в IIS. По умолчанию равен 1.

  /P: номер порта. Стандартом является 443. Это же значение задано по умолчанию.

Например, вы решили выпустить сертификат для сайта owa.contoso.com сроком на один год. Нет ничего проще! Наберите следующую команду:

selfssl /N:cn=owa.contoso.com /V:365

И нажмите Ввод.

На вопрос “Do you want to replace the SSL settings for site 1 (Y/N)?” нажмите “y”. Если у вас не установлен IIS то вы получите сообщение “Error opening metabase: 0x80040154” – просто игнорируйте его.

Сертификат выпущен. Теперь вы можете делать с ним все, что угодно. Например, установить на ваш WEB-сайт. Давайте посмотрим, как это сделать. Для начала вам нужно выгрузить ваш сертификат. Для этого запустите Microsoft Management Console (MMC). Нажмите Пуск->Выполнить…-> наберите mmc и нажмите ввод.

Затем нажмите File –> Add/Remove Snap in…

 В появившемся окне нажмите Add…

 

Затем выберите Certificates и нажмите Add…

 

Выберите Computer account и нажмите Next

Теперь нажмите Finish

 

Оснастка добавлена. Нажмите Close, чтобы закрыть диалоговое окно и OK, чтобы перейти к работе с оснасткой.

Разверните Crtificates (Local Computer) затем Personal и выберите Certificates. Справа вы увидите ваш сертификат. Щелкните по нему правой кнопкой мыши. Выберите All Tasks, а затем Export.

 

В появившемся диалоговом окне нажмите Next.

Если вы хотите использовать сертификат на вашем WEB-сайте, то для этого понадобиться выгрузить приватный ключ. Выберите “Yes, export the private key” и нажмите Next.

И еще раз Next.

Так как вы выгружаете приватный ключ, то такой сертификат лучше запаролить. Введите пароль или оставьте поле пустым (последнее не рекомендуется) нажмите Next.

Введите имя файла, то под которым файл будет храниться на диске.  Например, owa.contoso.com и нажмите Next.

В следующем окне нажмите Finish.

Сертификат выгружен и готов к использованию. Теперь его необходимо установить на вашем WEB-сайте.

Данную утилиту можно использовать для выпуска любых сертификатов, например для ISA Server. Поэтому я создал три сертификата:

1.    dc1.mydomain.local

2.    owa.mydomain.local

3.    isa.mydomain.local

Всем удачи!

 

Реклама

24.11.2009 Posted by | ms exchange 2007 | Комментарии к записи Как «прикрутить» SSL сертификат в Exchange 2007 ? отключены

Настройка клиента IPHONE 3G на работу с сервером Exchange.

Несколько недель назад, один из руководителей компании попросил меня настроить его телефон на использование нашего эксченджа. Все бы не плохо, но это был IPHONE. Раньше я не однократно настраивал различные смартфоны и коммуникаторы с Windows Mobile, но тут особый случай, по этому изначально данный вопрос поставил меня в тупик и пришлось взять тайм-аут, для того чтоб разобраться. А делается это так:

Цель: Настроить Exchange Server для работы с почтой на iPhone

Средства: Установленный и сконфигурированный Microsoft Exchange Server 2003, Apple iPhone c прошивкой не ниже 2.0 или iPhone 3G

Когда я еще читал обзоры прошивки 2.0 где было сказано о работе iPhone с Exchange я подумал, неужели они реализуют MAPI протокол на мобильном устройстве? В прошивках 1.1.X работа с Exchange была реализована с использованием протокола IMAP, что конечно было намного лучше нежели использовать классический «дедовский» POP3, но пользователи все равно не получали заветные прелести Push технологии. Чуда не случилось, MAPI естественно остался исключительно детищем Microsoft и их почтового клиента Outlook, а для мобильных устройств в Exchange server реализованы службы Exchange ActiveSync и Outlook Mobile Access на основе которых и работает Exchange почта в iPhone.

Наша задача состоит в настройке данных служб на Exchange сервере, но я решил немного усложнить задачу тем, что на этом же сервере необходимо будет иметь OWA (Outlook Web Access) с авторизацией на основе web формы. Чем же это усложняет задачу? А тем что ActiveSync и Mobile Access так же работают по средства Web служб, поэтому настройка этих служб тесно связанна между собой. Так же я постараюсь рассмотреть некоторые тонкости настройки как Exchange сервера так и самого iPhone.

Для начала Apple опубликовала документ How to set up Exchange ActiveSync

К сожалению он довольно посредственный, чего, в общем то, и следовало ожидать.

Часть 1 – MS Exchange. Настройка Outlook Web Access, Exchange ActiveSync и Outlook Mobile Access.

  1. Открываем System Manager -> Global Settings -> открываем свойства Mobile Services и разрешаем все опции.
1
  1. В том же System Manage открываем Exchange сервер > Protocols > HTTP > открываем свойства Exchange Virtual Server > Settings ставим галку Enable Forms Based Authentication. Вам будет предложено сконфигурировать IIS для доступа через SSL. К слову сказать я рекомендую использовать именно SSL доступ как наиболее безопасный.

(Если не нужна авторизация Outlook Web Access с использованием форм то этот пункт можно пропустить)

2

  1. Открываем Internet Informational Services Manager (в Administrative tools),открываем свойства Default Web Site. (Предполагается что кроме Web служб Exchange в Default Web Site других служб нет). На странице Web Site указываем SSL port 443.
3
  1. Переходим к закладке Directory Security, в Authentication and Access Control ждем Edit, ставим галку Enable Anonymous Access и выбираем пользователя из под которого будет осуществляться анонимный доступ к форме авторизации (по умолчанию это пользователь IUSR_SERVERNAME, где SERVERNAME имя Exchange сервера), и естественно пароль, который можно задать этой учетной записи средствами AD Users&computers. (Не ставим эту галку если не используем формы).
4

Так же ставим галку Integrated Windows authentication.

  1. Переходим к разделу Secure Communications на той же закладке. Нам необходимо установить сертификат шифрования. Жмем Server sertificate… и выбираем Add server sertificate, далее следуем инструкциям визарда по установке сертификата. Сам сертификат можно получить установив в домене Certification Authority или получить сертификат доверенных центров сертификатов, таких как Thawte, GTE CyberTrust, VeriSign Inc, Entrust.net и т.д. как правило, это стоит отдельных денег, однако данные центры сертификатов изначально являются домеренными в Web браузерах и проходят валидацию без дополнительных предупреждений в Web браузерах.

После установки сертификата жмем Edit… и ставим галку Require secure channel (SSL).

Перезапускаем службу IIS Admin Service.

5

Теперь все готово для работы с Outlook Web Access с использованием Access based forms.

Если набрать в браузере https://exchange_server_name/exchange мы увидим Web форму для авторизации. В свойствах пользователя в AD, в Exchange Features разрешаем пользователю Outlook Web Access и теперь мы можем авторизоваться и получить доступ к ящику.

Теперь переходим в настройке непосредственно Exchange ActiveSync и Outlook Mobile Access. Итак, если мы не использовали Web формы для авторизации то данные службы можно считать уже настроенными, если же использовали, то необходимо произвести небольшой тюнинг.

Второй же способ пригодится в организации, где нет возможности развернуть второй Exchange сервер.

Обязательно обратите внимание на следующую рекомендацию: чтобы создать для сервера Exchange дополнительный виртуальный каталог в соответствии с этапами 1-4, убедитесь перед созданием копии в том, что для виртуального каталога отключена проверка подлинности на основе форм. Перед выполнением этих действий отключите в диспетчере Exchange System manager проверку подлинности на основе форм, после чего перезапустите IIS.

Т.е., говоря более простым языком, возвращаемся к п.2, отключаем авторизацию на основе форм, перезапускаем IIS Admin Service, и только потом делаем экспорт виртуального каталога, затем включаем обратно.

Настроим виртуальный каталог в IIS:

  1. Запустите оснастку «Диспетчер служб Интернета».
  2. Найдите виртуальный каталог Exchange. По умолчанию путь к данному каталогу выглядит следующим образом:

Веб-узлы\Веб-узел по умолчанию\Exchange

.

  1. Щелкните требуемый виртуальный каталог правой кнопкой мыши, выберите пункт All Tasks, а затем команду Save Configuration to a File.
  2. В поле File name введите имя файла (например ExchangeVDir). Нажмите кнопку ОК.
  3. Щелкните правой кнопкой мыши корневой элемент данного веб-узла. Как правило, это элемент «Веб-узел по умолчанию». Выберите пункт Создать, а затем пункт Виртуальный каталог (из файла).
  4. В окне Импорт конфигурации нажмите кнопку Обзор, выберите файл, созданный на этапе 4, нажмите кнопку Открыть и выберите параметр Чтение файла.
  5. В группе Select a configuration to import выберите параметр Exchange и нажмите кнопку ОК.Появится окно с сообщением «virtual directory already exists».
  6. В поле Alias введите имя нового виртуального каталога, который будет использоваться клиентами Exchange ActiveSync и Outlook Mobile Access (например exchange-oma). Нажмите кнопку ОК.
  7. Щелкните новый виртуальный каталог правой кнопкой мыши (в данном примере щелкните exchange-oma). Выберите пункт Свойства.

10.  Откройте вкладку Directory Security.

11.  В разделе Управление доступом и проверка подлинности нажмите кнопку Изменить.

12.  Убедитесь, что включены только перечисленные ниже методы проверки подлинности, и нажмите кнопку ОК:

  • Integrated Windows authentication (встроенная проверка подлинности Windows);
  • Basic authentication (обычная проверка подлинности).

13.  В разделе IP address and domain name restrictions нажмите кнопку Edit.

14.  Выберите параметр Denied access, нажмите кнопку Add, выберите параметр Single computer, введите IP-адрес настраиваемого сервера и нажмите кнопку ОК.

15.  В группе Secure communications нажмите кнопку Edit. Убедитесь, что флажок Require secure channel (SSL) снят, и нажмите кнопку ОК.

16.  Нажмите кнопку ОК и закройте диспетчер служб Интернета.

17.  Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку regedit и нажмите кнопку ОК.

18.  Найдите следующий раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters

19.  Щелкните правой кнопкой мыши раздел Parameters, выберите пункт Создать, а затем Строковый параметр.

20.  Введите ExchangeVDir и нажмите клавишу ВВОД. Щелкните правой кнопкой мыши параметр ExchangeVDir и выберите команду Изменить.

Примечание. Вводите ExchangeVDir с учетом регистра. Если ввести выражение ExchangeVDir не так, как показано здесь, ActiveSync не найдет нужный раздел при поиске папки exchange-oma.

21.  В поле Значение введите имя виртуального каталога, созданного на этапе 8, например exchange-oma. Нажмите кнопку ОК.

22.  Закройте редактор реестра.

23.  Перезапустите службу IIS Admin. Для этого выполните следующие действия:

  1. Выберите в меню Пуск пункт Выполнить, введите команду services.msc и нажмите кнопку ОК.
  2. В списке служб щелкните правой кнопкой мыши элемент Служба IIS Admin и выберите команду Перезапустить.

Примечание. Для сервера под управлением Microsoft Windows Small Business Server 2003 (SBS) в качестве имени виртуального каталога Exchange OMA необходимо использовать exchange-oma.

При интегрированной установке сервера Microsoft Windows Small Business Server 2003 в службах IIS создается виртуальный каталог exchange-oma. Кроме того, раздел реестра ExchangeVDir связывается с виртуальным каталогом /exchange-oma во время первоначальной установки. При использовании других мастеров SBS, например Мастера настройки электронной почты и подключения к Интернету (CEICW), также предполагается, что именем виртуального каталога в IIS является exchange-oma. 

Настроим клиента на iPhone.

Перед настройкой самого аппарата убедитесь, что корректно настроен доступ в интернет через EDGE/3G или Wi-Fi.

  1. На самом iPhone заходим в Настройки – Mail, Контакты, Календари и выбираем добавить учетную запись.
  2. Выбираем Microsoft Exchange

Теперь все готово для работы с Outlook Web Access с использованием Access based forms.

Если набрать в браузере https://exchange_server_name/exchange мы увидим Web форму для авторизации. В свойствах пользователя в AD, в Exchange Features разрешаем пользователю Outlook Web Access и теперь мы можем авторизоваться и получить доступ к ящику.

Теперь переходим в настройке непосредственно Exchange ActiveSync и Outlook Mobile Access. Итак, если мы не использовали Web формы для авторизации то данные службы можно считать уже настроенными, если же использовали, то необходимо произвести небольшой тюнинг. 

 

  1. Заполняем необходимые поля. E-mail адрес, имя пользователя, пароль и описание.

Для прошивок версий 2.0.0, 2.0.1 и 2.0.2 имя пользователя надо писать в формате domain\username где domain NETBIOS или FQDN имя для домена Active Directory, в прошивке версии 2.1 имя домена вынесено отдельным полем, по-видимому, потому что далеко добираться до символа обратного слеша (\) на iPhone 🙂

Описание это просто имя почтовой записи.

6

 

  1. Заполняем необходимые поля. E-mail адрес, имя пользователя, пароль и описание.

Для прошивок версий 2.0.0, 2.0.1 и 2.0.2 имя пользователя надо писать в формате domain\username где domain NETBIOS или FQDN имя для домена Active Directory, в прошивке версии 2.1 имя домена вынесено отдельным полем, по-видимому, потому что далеко добираться до символа обратного слеша (\) на iPhone 🙂

Описание это просто имя почтовой записи.

7

Нажать сохранить. iPhone начнет проверку учетной записи.

Возможно, потребуется ввести имя Exchange сервера, зависит от общей конфигурации вашего домена AD и DNS. Имя Exchange сервера надо указывать как внешний хост о котором писалось чуть выше, для примера iMail.domain.ru ( наш внешний адрес фаервола).

8

  1. В процессе проверки учетной записи у почтовой программы могут возникнуть вопросы о доверии к сертификатам шифрования на почтовом сервере, особенно если сертификат был создан на своем Certification Authority, а не куплен у доверенного центра. Естественно надо подтвердить использование не проверенного сертификата. Более этот запрос повторяться не будет. Так же можно заранее загрузить сертификат почтового сервера, об этом чуть позже.
9
  1. После удачной проверки учетной записи будет предложено выбрать контент для синхронизации E-mail, Контакты и Календарь.
10

С почтой все понятно, а вот если выбрать контакты и/или календарь то выскочит предупреждение о том, что все локальные записи будут удалены и заменены синхронизируемыми записями. Поэтому если ваша адресная книга или календарь отличаются от того, что есть в почтовом ящике на Exchange сервере, позаботьтесь заранее о синхронизации через iTunes.

Синхронизироваться будут все папки контактов в почтовом ящике пользователя, в контактах они будут выглядеть как группы, а так же в контактах будет видна группа с именем почтовой записи, при нажатии на нее будет доступен поиск по адресной книге (GAL).

При невозможности доступа к почтовому серверу ранее закаченные контакты и записи календаря будут нормально доступны в телефоне.

  1. Так же в настройках будут доступны некоторые другие параметры для настройки личных предпочтений и периода времени для почты и календаря, за который необходимо проводить синхронизацию.
11

Как видно ничего сложного в настройках нет, я хотел описать еще несколько особенностей при работе iPhone с MS Exchange.

  1. При написании нового письма в поле кому достаточно набирать первые буквы имени получателя и почтовый клиент автоматически будет производить поиск получателей в контактах и адресной книге Exchange. Я был сильно удивлен тем, что даже через медленное GPRS соединение поиск работал достаточно быстро.
  2. Входящая почта будет выталкиваться с сервера автоматически, т.е. будет работать метод Push mail при включенной «галке» в настройках -> новые данные. Так же имеется возможность задать расписания проверки новой почты при выключенном Push. Однако очень жаль, что нет возможности задать расписания для включения/выключения Push mail, не многим понравиться просыпаться среди ночи из-за пришедшего спама. Пока есть только возможность ручного управления данной функцией.
12
  1. Сразу оговорюсь, что данный пункт не совсем мною уточнен. А именно на моем Exchange сервере для исходящей наружу почты имя пользователя подставляется из поля Simple Display name где имена указаны латинскими буквами. В тоже время как поле Display name указано по-русски. Т.е. внутри организации Exchange получатели видят друг друга русскими именами, а внешние получатели латинскими. iPhone же все равно отображает отправителей внутри организации по полю Simple Display name. Остается неясность это типичное поведение почтового клиента iPhone, особенность ActiveSync или особенность присущая в моей конфигурации почтового сервера. Хочу лишь заметить, что если поле Simple Display name не указано, то вместо него будет указан алиас.
  2. В iPhone календаре не реализована синхронизация задачника.
Еще один баг, который я обнаружил-это кривая кодировка некоторых сообщений. Поиски решения даноой проблемы результата не дали. По этому, если, кто знает, как это победить, пишите в коменты.
Всем удачи!

Один из наших читателей сообщил дополнительную информацию, за что огромное спасибо:

Частично решением проблемы с кодировкой в recipient name можно назвать установку хотфикса http://support.microsoft.com/kb/910423/en-us.
Эта тема активно обсуждалась тут http://social.technet.microsoft.com/Forums/ru-RU/ocsesru/thread/1a1f602e-94f3-4bf7-9ff8-b7ec2f4be4f7.

При этом остается баг с кодировкой в отправленных с IPhone письмах.

24.06.2009 Posted by | ms exchange 2007 | Комментарии к записи Настройка клиента IPHONE 3G на работу с сервером Exchange. отключены

Установка пограничного сервера на базе win2003pro со спам фильтром Interscan MSS (TrendMIcro).

В данной побликации я пропущу процесс установки и настройки виндовс и установки спам фильтра интерскан.

Рассмотрим только настройки интерскан сервера. Если данный сервер будет установлен в организации соответственно необходимо на ISA изменить правило публикации в вашего exchange сервера на данный сервер.

 1

Честно говоря с тренд микровским спам-фильтром, на данной работе столкнулся впервые. Постепенно его настроили, но до сих пор он для меня остается загадкой (так называемый «Ящик Пандоры»), некоторые правила работают не совсем корректно. В день людям все равно падает от 1 до 10 писем спама. Начинаешь закручивать гайки, начинает резать и нормальную почту, в общем, результатом я остался не доволен, но в отсутствие иного, приходится пользовать, то, что есть. Подскажите пожалуйста, мож какой другой глянуть? Кто каким пользуется? Может от Microsoft или может железный? Какие плюсы и минусы того или инго непосредственно в работе, а не в рекламе? Буду очень благодарен. Заранее Спасибо.

24.06.2009 Posted by | ms exchange 2007 | Комментарии к записи Установка пограничного сервера на базе win2003pro со спам фильтром Interscan MSS (TrendMIcro). отключены