Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Настроим DNS сервер провайдера а также наш DNS и Центр сертификации (CA).

Настроим DNS провайдера. Так как мы имеем возможность управлять нашим DNS удаленно, соответственно мы коннектимся к нему и в настройках указываем MX запсь на наш внешний IP нашего ISA сервера. (Обновление как правило длится от 4 до 24 часов)

Настроим наш DNS сервер.


Настроим Центр сертификации для выдачи сертификатов. (В моем случае я настроил 2 центра сертификации: корневой на DC для выдачи сертивикатов и отдельной публикации на ISA сервере а второй непосредственно на сервере Exchange для публикации OWA), возможно можно сделать и по другому, но к сожалению я других вариантов не знаю, по этому сделал именно так.

На странице Welcome to the Web Server Certificate Wizard (Начало работа мастера создания сертификата Web-сервера) нажмите Next (Далее).
На странице Server Certificate (Сертификат сервера) выберите Create a new certificate (Создать новый сертификат) и нажмите Next (Далее).

На странице Delayed or Immediate Request (Отложенный или срочный запрос) выберите опцию Send the request immediately to an online certificate authority (Немедленно послать запрос в центр сертификации) и нажмите Next (Далее).

На странице Name and Security примите значения по умолчанию и нажмите Next (Далее).
На странице Organization Information (Информация об организации) введите в текстовое поле Organization (Организация) название вашей организации, а в поле Organizational Unit (Подразделение организации) введите ваше подразделение. Нажмите Next (Далее).

На странице Your Site’s Common Name (Имя сайта) введите имя вашего сайта. Это имя, которое внутренние и внешние пользователи используют для доступа к сайту. Например, если пользователи для доступа к OWA-сайту вводят в браузере адрес https://owa.msfirewall.org, то имя сайта будет owa.msfirewall.org. В нашем примере в поле Common name (Имя) введите owa.msfirewall.org. Это значение будет отображаться и в сертификате. Это очень важная установка. Если вы введете неправильное имя, то при попытке доступа к защищенному OWA-сайту у вас будут возникать ошибки. Нажмите Next (Далее).

На странице Geographical Information (Географическая информация) введите текстовые поля Вашу Страну/Регион, Штат/Область и Город/Населенный пункт. Нажмите Next (Далее).
На странице SSL Port (Порт SSL) примите значение по умолчанию (443), указанное в текстовом поле SSL port this web site should use (Этот web-сайт должен использовать данный SSL-порт). Нажмите Next (Далее).
На странице Choose a Certification Authority (Выбор центра сертификации) примите значения по умолчанию в списке Certification authorities (Центры сертификации). Нажмите Next (Далее).
Просмотрите установки на странице Certificate Request Submission (Подтверждение запроса сертификата) и нажмите Next (Далее).
На странице Completing the Web Server Certificate Wizard (Завершение работы мастера web-сертификатов) нажмите Finish (Завершить).
Обратите внимание, что теперь стала доступной кнопка View Certificate (Просмотр сертификатов). Это говорит о том, что сертификат web-сайта связан с OWA-сайтом и может быть использован для принудительного SSL-соединения с этим сайтом.

В диалоговом окне DefaultWebSiteProperties (Свойстваweb-сайта по умолчанию) нажмите OK.
Экспорт сертификата web-сайта в файл
ISA-сервер подменяет собой OWA-сайт при первом SSL-соединении клиента OWA с ISA-сервером. Для этого вы должны экспортировать сертификат web-сайта и импортировать его в хранилище сертификатов на ISA-сервере.
Важно, чтобы вы при экспорте сертификата в файл экспортировали и закрытый ключ web-сайта. Если закрытый ключ не включен в файл экспорта, Вы не сможете привязать сертификат к web-приемнику ISA-сервера.
Для экспорта сертификата web-сайта с закрытым ключом предпримем следующие шаги:
В левой панели консоли Internet Information Services (IIS) Manager(Управление IIS) раскройте узел Web Sites (Web-сайты) и правой кнопкой щелкните на Default Web Site (Web-сайт по умолчанию) и Properties (Свойства).
В диалоговом окне Default Web Site Properties (Свойства web-сайта по умолчанию) выберите вкладку Directory Security (Безопасность).
На вкладке Directory Security (Безопасность) в разделе Secure communications (Безопасные соединения) нажмите кнопку View Certificate (Просмотр сертификата).
В диалоговом окне Certificate (Сертификат) выберите вкладку Details (Подробно) и нажмите кнопку Copy to File (Копировать в файл).


На странице Welcome to the Certificate Export Wizard (Начало работы мастера экспорта сертификатов) нажмите Next (Далее).
На странице Export Private Key (Экспорт закрытого ключа) выберите опцию Yes, export the private key (Да, экспортировать закрытый ключ) и нажмите Next (Далее).


На странице Export File Format (Формат экспортируемого файла) выберите опцию Personal Information Exchange – PKCS #12 (.PFX) (Файл обмена личной информацией — PKCS #12 (.PFX)). Отметьте опцию Include all certificates in the certification path if possible (Включить по возможности все сертификаты в путь сертификата) и снимите отметку с опции Enable strong protection (requires IE 5.0, NT 4.0 SP4 or above) (Включить усиленную защиту (требуется IE 5.0, NT 4.0 SP4 или выше)). Нажмите Next (Далее).

На странице Password (Пароль) введите пароль, а затем введите его еще раз в поле Confirm Password (Подтвердить пароль). Нажмите Next (Далее).
На странице FiletoExport (Имя файла экспорта) введите c:\OWAsiteCert в текстовом поле Filename (Имя файла). Нажмите Next (Далее).
На странице Completing the Certificate Export Wizard (Завершение работы мастера экспорта сертификатов) нажмите Finish (Завершить).
В диалоговом окне Certificate (Сертификат) нажмите OK.
В диалоговом окне Default Web Site Properties (Свойства web-сайта по умолчанию) нажмите OK.
Скопируйте файл OWAsiteCert.pfx в корневую папку C:\ на ISA-сервер.
Импорт сертификата web-сайта в хранилище сертификатов ISA-сервера
Сертификат web-сайта должен быть импортирован в хранилище сертификатов на ISA-сервере до того, как он будет связан с web-приемником. Только после того, как сертификат (вместе с закрытым ключом) будет импортирован в хранилище сертификатов ISA-сервера, он будет доступен для привязки
Для импорта сертификата OWA-сервера msfirewall.org в хранилище сертификатов ISA-сервера выполните следующее:
На ISA-сервере нажмите Start (Пуск), а затем Run (Выполнить). Введите mmc в текстовое окно Open (Открыть) и нажмите OK. В консоли Console 1 (Консоль 1) в меню File (Файл) нажмите Add/Remove Snap-in (Добавить/Удалить оснастку).
В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите Add (Добавить).
Выберите пункт Certificates (Сертификаты) из списка Available Standalone Snap-in (Доступные изолированные оснастки) в диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку). Нажмите Add (Добавить).
На странице Certificates snap-in (Оснастка диспетчера сертификатов) выберите опцию Computer account (Учетная запись компьютера) и нажмите Next (Далее).
На странице Select Computer (Выбор компьютера) выберите опцию Local computer: (the computer this console is running on) (Локальный компьютер (тот, на котором выполняется эта консоль) и нажмите Finish (Завершить).
В диалоговом окне Add Standalone Snap-in (Добавить изолированную оснастку) нажмите Close (Закрыть).
В диалоговом окне Add/Remove Snap-in (Добавить/Удалить оснастку) нажмите OK.
Правой кнопкой нажмите на узел Personal (Личные), выберите All Tasks (Все задачи) и нажмите Import (Импорт).
На странице Welcome to the Certificate Import Wizard (Начало работы мастера импорта сертификатов) нажмите Next (Далее).
Нажмите кнопку Browse (Обзор) и укажите место расположения файла сертификата. После того, как путь к файлу появится в текстовом окне Filename (Имя файла) нажмите Next (Далее).

На странице Password (Пароль) введите пароль к файлу. Не отмечайте опцию Mark this key as exportable. This will allow you to back up or transport you keys at a late time (Пометить этот ключ как экспортируемый, что позволит Вам сохранять архивную копию ключа и перемещать его). Не следует использовать эту опцию, поскольку этот компьютер является краеугольным узлом в сети или в Интернете и он подвержен риску. Злоумышленник может украсть закрытый ключ с этого компьютера, если он помечен как экспортируемый. Нажмите Next (Далее).
На странице CertificateStore (Хранилище сертификатов) убедитесь, что выбрана опция Placeallcertificateinthefollowstore (Поместить все сертификаты в следующее хранилище) и в поле Certificatestore (Хранилище сертификатов) выбрано Personal (Личные). Нажмите Next (Далее).
Просмотрите установки на странице Completing the Certificate Import (Завершение импорта сертификата) и нажмите Finish (Завершить).
В диалоговом окне Certificate Import Wizard (завершение работы мастера импорта сертификатов) нажмите OK. Импорт прошел успешно.
Вы увидите сертификат web-сайта и сертификат центра сертификации в правой части консоли. Web-сертификат имеет FQDN (Fully Qualified Domain Name — полностью определенное имя домена), приписанное к этому web-сайту. Это имя используют удаленные пользователи для доступа к OWA-сайту. Сертификат центра сертификации должен быть помещен в хранилище Trusted Root Certification Authorities\Certificates (Доверенные корневые центра сертификации). Это значит, что компьютер доверяет сертификату web-сайта, установленному на ней. Дважды щелкните по сертификату web-сайта в правой панели консоли.
Раскройте узел Trusted Root Certification Authorities(Доверенные корневые центры сертификации) в левой половине консоли и щелкните по узлу Certificates (Сертификаты). Вам нужно скопировать сертификат центра сертификации в папку Trusted Root Certification Authorities\Certificates(Доверенные корневые центра сертификации\Сертификаты). Щелкните правой кнопкой по сертификату центра сертификации и выберите Cut (Вырезать). Затем щелкните по узлу \Trusted Root Certification Authorities\Certificates (Доверенные корневые центра сертификации\Сертификаты) и выберите Paste (Вставить).
Реклама

01.06.2009 Posted by | ms windows 2003 | | Комментарии к записи Настроим DNS сервер провайдера а также наш DNS и Центр сертификации (CA). отключены