Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Установка сертификата CA Certificate на машине с клиентом Outlook RPC/HTTP

Если вы используете браузер (Web browser) для подключения к безопасным SSL Web сайтам, то вы можете увидеть диалоговое окно, которое сообщает вам, что ваш компьютер не доверяет сертификату, представленному Web серверу. В этом случае вы можете выбрать либо продолжить подключение к Web серверу, либо прервать соединение.
Доверяет ваш компьютер сертификату, представляемому Web сайтом, или нет, зависит от присутствия сертификата CA certificate, который подписывает сертификат Web сайта в хранилище сертификатов Trusted Root Certification Authorities. Если такой сертификат CA certificate отсутствует в хранилище сертификатов Trust Root Certification Authorities, то клиентский компьютер не будет доверять сертификату Web сайта.
В то время, как у нас есть возможность выбора продолжить или прервать соединения при работе с браузером, то при подключении с помощью клиента Outlook RPC/HTTP у нас такой возможности нет. Если клиентский компьютер не доверяет сертификату, который был ему представлен компьютером с брандмауэром ISA Firewall, то соединения разрывается и вы не получаете никакой информации, почему это произошло. Решение этой проблемы заключается в том, чтобы поместить сертификат CA certificate в хранилище сертификатов Trusted Root Certification Authorities на клиентской машине.
Самый простой способ для установки сертификата CA на машинах клиентов заключается в установке корпоративного CA в вашей организации, а затем включение компьютера клиента в члены домена (domain member). В результате этого корпоративный сертификат CA certificate автоматически попадет в машинное хранилище сертификатов Trusted Root Certification Authorities machine certificate store.
Однако, если у вас есть машины, которые не являются членами домена (domain members), и вы хотите, чтобы эти машины были клиентами RPC/HTTP, то вы должны вручную установить сертификат CA certificate. Для этого есть несколько способов, например, обязать клиентов перейти на сайт Web enrollment site или выпустить файл сертификата CA certificate file для пользователей, который затем они должны будут установить вручную. В следующем примере, машина с клиентом RPC/HTTP client не является членом домена, поэтому мы вручную импортируем сертификат CA certificate.
Для установки сертификата CA certificate на клиенте Outlook RPC/HTTP client выполните следующие шаги:
Перейдите на компьютер, который является контроллером домена (domain controller), в нашем случает это dc.msfirewall.org, откройте Проводник (Windows Explorer) и посмотрите в корневую директорию C:. Там вы увидите сертификат CA certificate этого корпоративного CA. Скопируйте этот файл на переносимый носитель или любой другой носитель информации и перенесите его на клиентскую машину.
Нажмите на кнопку Start (Пуск) а затем запустите команду Run (Выполнить). Введите mmc в диалоговом окне Open (открыть) и нажмите на кнопку OK.
В окне Console1 нажмите на File (файл) а затем выберите Add/Removesnap-in
В диалоговом окне Add/Remove Snap-in нажмите на кнопку Add (добавить)
В диалоговом окне Add Standalone Snap-in выберите пункт Certificates (сертификаты) и нажмите на кнопку Add (добавить).
На странице Certificates snap-in выберите элемент Computer account (учетная запись компьютера) и нажмите на кнопку Next.
На странице Select Computer (выбор компьютера) выберите параметр Local computer (локальный компьютер) и нажмите на кнопку Finish.
Нажмите на кнопку Close (закрыть) в диалоговом окне Add Standalone Snap-in.
Нажмите на кнопку OK в диалоговом окне Add/Remove Snap-in.
В левом окне консоли раскройте узел Trusted Root Certification Authorities и щелкните правой кнопкой мыши на узле Certificates (сертификаты). Выберите All Tasks (все задачи) и нажмите на кнопку Import (импортировать).

Нажмите на кнопку Next на странице Welcome to the Certificate Import Wizard.
На странице File to Import (файл для импорта) нажмите на кнопку Browse (обзор) и найдите файл сертификата CA. Щелкните на файле и нажмите на кнопку Open (открыть).

Нажмите на кнопку Next на странице File to Import.
На странице Certificate Store (хранилище сертификатов) примите все настройки по умолчанию и нажмите на кнопку Next.
Нажмите на кнопку Finish (завершить) на странице Completing the Certificate Import Wizard.
Нажмите на кнопку OK в диалоговом окне, которое информирует вас, что импорт прошел успешно (import was successful).
Сертификат CA certificate появится в списке сертификатов CA.


Проверка конфигурации
Теперь мы готовы к проверке конфигурации. Начнем с запуска Outlook 2003. Вы увидите диалоговое окно Choose Profile (выберите профиль), как показано на рисунке ниже. Выберите профиль AdminTest из выпадающего списка и нажмите на кнопку OK.

Появится диалоговое окно для входа. Введите имя пользователя и пароль для учетной записи. В нашем примере, мы используем учетную запись администратора в домене msfirewall.org. Нажмите на кнопку OK.


Т.к. это первый раз, когда Outlook используется на машине клиента, то вы увидите диалоговое окно Preparing Outlook for first use (подготовка к первому использованию). После этого откроется и вы увидите почтовый ящик пользователя.


Удерживайте клавишу CTRL на клавиатуре и щелкните правой кнопкой мыши ни иконке Outlook в System Tray. Выберите команду Connection Status (статус соединения). Появится окно Exchange Server Connection Status (статус соединения). Вы можете увидеть в столбце Conn, что используется протокол HTTP/RPC.


Теперь давайте проверим соединение OWA connection. В Internet Explorer в адресной строке введите https://owa.msfirewall.org/exchange и нажмите на клавишу ENTER. Вы увидите форму, сгенерированную брандмауэром ISA Firewall. Выберите параметр This is a private computer (это частный компьютер) и введите имя пользователя и пароль. Т.к. мы используем общую аутентификацию (basic authentication), то вы должны ввести имя пользователя как msfirewall\administrator. Нажмите на кнопку Log on для входа.


Откроется OWA!

Резюме
Итак, дальше — лучше. Мы смогли опубликовать сайты OWA и RPC/HTTP с помощью одного IP адреса. Это то, чего мы не могли сделать с помощью ISA 2004. Но есть также еще много всего нового в брандмауэре ISA Firewall. В следующей части этой серии мы посмотрим, как мы можем использовать аутентификацию LDAP для использования групп безопасности Active Directory и ограничения доступа таким образом, чтобы лишь пользователи, которые являются членами этих групп смогли пройти через брандмауэр ISA Firewall к опубликованному серверу Exchange. Мы также посмотрим на то, как вы можете автоматически перенаправить пользователей, которые забыли набрать https:// и /exchange в строке адреса.
Реклама

01.06.2009 Posted by | ms office 2003/2007/2010/2013/365 | | Комментарии к записи Установка сертификата CA Certificate на машине с клиентом Outlook RPC/HTTP отключены