ISA2006发布SSL OWA之一SSL及CA证书配置篇
2015-02-09 00:00
190 查看
Technorati Tags:
ISA OWA SSL
为尽快的解决公司用户OWA安全登陆问题,Myhat公司网络管理员决定使用SSL的方式让远程用户安全登陆!由于部署SSL OWA需要使用到证书,故网络管理员提供的解决方法与思路如下:
1、安装证书服务器CA
安装证书服务器有两个选择:
A、安装企业根CA
企业根CA证书具有域内用户自动颁发证书的功能,用户只要是申请即可立即进行安装,只需要到CA申请的站点去下载证书链及申请到证书便可以实现!在下面的实验中将以企业根CA为例进行!
B、安装独方根CA
相对而言,独立根CA没有开启自动证书颁发的功能,所以用户需要到CA证书服务器上对申请的证书做一个批准的动作!
2、OWA网站申请SSL证书
3、OWA网站开启表单验证、安装证书及相关证书链
4、ISA安装相关SSL证书及CA证书链
需要安装两个证书。一个是用于网站SSL认证连接,一个是用于CA证书链,以表明该证书是可以信赖的。
5、开始发布SSL OWA
因目前实验环境已搭建完毕,故目前不提供CA的证书安装这一过程。相关的配置大家可以到网上去搜吧!
OK,开始对服务器进行配置吧!
OWA网站申请SSL证书
1、打开IIS管理器,右键单击“默认网站”,在弹出的快捷菜单中单击“属性”,在“默认网站”属性的“目录安全性”选项卡中,单击“服务器证书”按钮,根据证书向导来建立和安装证书,第一步,选择“新建证书”如下图:
![](http://static.oschina.net/uploads/img/201502/09231913_QZPH.jpg)
直接下一步
![](http://static.oschina.net/uploads/img/201502/09231913_WxNN.png)
输入新证书的名称,最好是以网站的地址命名
![](http://static.oschina.net/uploads/img/201502/09231914_7N8Y.png)
输入与网站相关的信息
![](http://static.oschina.net/uploads/img/201502/09231914_mI8k.png)
再来一个下一步
![](http://static.oschina.net/uploads/img/201502/09231914_luJK.png)
输入相关地理信息
![](http://static.oschina.net/uploads/img/201502/09231915_z5lP.png)
导出证书申请信息
![](http://static.oschina.net/uploads/img/201502/09231915_420B.png)
做最后的信息确认
![](http://static.oschina.net/uploads/img/201502/09231915_13RH.png)
![](http://static.oschina.net/uploads/img/201502/09231916_UOHD.png)
登陆CA证书WEB站点,申请高级证书
![](http://static.oschina.net/uploads/img/201502/09231916_waag.png)
点击进阶证书要求(跟简体中文不大容易理解)
![](http://static.oschina.net/uploads/img/201502/09231916_uGev.png)
点击第二条,这样我们就可以使用之前生成的申请CA证书的信息文件了
![](http://static.oschina.net/uploads/img/201502/09231917_K2al.png)
以下为之前生成的certrq.txt文档的内容
![](http://static.oschina.net/uploads/img/201502/09231917_Xp09.png)
将这些信息插入到这里(备注:记得证书范本一定要选网页伺服器哟)
![](http://static.oschina.net/uploads/img/201502/09231917_nUZo.jpg)
我们要保存证书了。这个证书就是以后用来做SSL认证用的。
![](http://static.oschina.net/uploads/img/201502/09231918_29Wq.png)
保存这个证书颁发机构的证书连接,以保证ISA与OWA网站可以共同信任这个站点,这一点很重要哟,没有它你注全功尽弃了。
![](http://static.oschina.net/uploads/img/201502/09231918_kO1w.png)
打开OWA站点――属性――目录安全设定――安全通讯――伺服器认证,我们要安装这个证书了!
安装证书的精灵
![](http://static.oschina.net/uploads/img/201502/09231918_yWtn.png)
处理已经下载的证书
![](http://static.oschina.net/uploads/img/201502/09231919_odg2.png)
导入证书文件
![](http://static.oschina.net/uploads/img/201502/09231919_woW2.png)
使用SSL443标准的连接端口
![](http://static.oschina.net/uploads/img/201502/09231919_4V67.png)
信息确认(来自certnew.cer这个证书中,也是我们之前在申前时设定的)
![](http://static.oschina.net/uploads/img/201502/09231920_oaZw.png)
完成证书导入
![](http://static.oschina.net/uploads/img/201502/09231920_ushV.png)
现在我们来看看我们安装好的SSL证书。有提示:无法确认这个对象。为什么呢?因为目前颁发证书的机构不受我们计算机信任。哈哈,那我就让它信任我们自己的颁发机构!
![](http://static.oschina.net/uploads/img/201502/09231920_b4bP.png)
现在我们要将CA证书链安装到OWA网站
1、选择开始――运行――MMC――选择档案――新增嵌入式管理单元――新增――证书
选择使用者证书:
![](http://static.oschina.net/uploads/img/201502/09231921_7Que.png)
开始导入我们的CA信任链接,将其导入到证书(目前使用者)――受信任的颁发机构
![](http://static.oschina.net/uploads/img/201502/09231923_jBWE.png)
找到我们之前下载的CA证书链
![](http://static.oschina.net/uploads/img/201502/09231924_lOFA.jpg)
选择证书存放位置
![](http://static.oschina.net/uploads/img/201502/09231924_iJNn.jpg)
OK,信任证书导入完成!
![](http://static.oschina.net/uploads/img/201502/09231926_5Rch.jpg)
现在我们来看一看刚才那个不受信任的证是否还存在。
OK,证书颁发机构已经受到的信任了!
![](http://static.oschina.net/uploads/img/201502/09231927_ItEL.png)
现在开始让我们的EX开启SSL表单认证了!
1、找到EX通讯协议HTTP的位置,并且右击属性
![](http://static.oschina.net/uploads/img/201502/09231928_5reu.png)
OK,已设定表单认证
![](http://static.oschina.net/uploads/img/201502/09231928_bEpA.png)
现在我们来测一下!提示让你使用SSL连接。
![](http://static.oschina.net/uploads/img/201502/09231928_Kh9z.png)
小插曲 :(由于IIS出现了问题,使用HTTPS也无法登陆。于是
重建了一下IIS
,并写了一篇博文 )
继续我们的实验!(重建IIS后仍无法解决HTTPS登陆的问题,目前正在排错中)
现在遇到的问题是:在上面的一切做完之后,使用HTTPS无法进行登录,也没有任何的错误提示。在些非常感觉MCSE群及Exchange2007群用户对我的回复,特别是来自MCSE论坛的芈祖。在你的协助下,帮我完成了整个实验中最关键的排错部分。再次感谢!
经过相关的排错,发现由于博主一时大意,没注意到证书选项,导致证书模板错误,以致于出刚才HTTPS无法使用的问题。说明博主的技术有待提高,博主将继续努力!
现在我们来看看配置正常后的截图:(EX及证书部配置完成)
![](http://static.oschina.net/uploads/img/201502/09231929_JNEJ.png)
到此为止,整个实验已经完成了50%,有关OWA SSL发布问题博主将会在下篇博文中进行发布。
本文出自 “潜入技术的海洋” 博客,谢绝转载!
ISA OWA SSL
为尽快的解决公司用户OWA安全登陆问题,Myhat公司网络管理员决定使用SSL的方式让远程用户安全登陆!由于部署SSL OWA需要使用到证书,故网络管理员提供的解决方法与思路如下:
1、安装证书服务器CA
安装证书服务器有两个选择:
A、安装企业根CA
企业根CA证书具有域内用户自动颁发证书的功能,用户只要是申请即可立即进行安装,只需要到CA申请的站点去下载证书链及申请到证书便可以实现!在下面的实验中将以企业根CA为例进行!
B、安装独方根CA
相对而言,独立根CA没有开启自动证书颁发的功能,所以用户需要到CA证书服务器上对申请的证书做一个批准的动作!
2、OWA网站申请SSL证书
3、OWA网站开启表单验证、安装证书及相关证书链
4、ISA安装相关SSL证书及CA证书链
需要安装两个证书。一个是用于网站SSL认证连接,一个是用于CA证书链,以表明该证书是可以信赖的。
5、开始发布SSL OWA
因目前实验环境已搭建完毕,故目前不提供CA的证书安装这一过程。相关的配置大家可以到网上去搜吧!
OK,开始对服务器进行配置吧!
OWA网站申请SSL证书
1、打开IIS管理器,右键单击“默认网站”,在弹出的快捷菜单中单击“属性”,在“默认网站”属性的“目录安全性”选项卡中,单击“服务器证书”按钮,根据证书向导来建立和安装证书,第一步,选择“新建证书”如下图:
![](http://static.oschina.net/uploads/img/201502/09231913_QZPH.jpg)
直接下一步
![](http://static.oschina.net/uploads/img/201502/09231913_WxNN.png)
输入新证书的名称,最好是以网站的地址命名
![](http://static.oschina.net/uploads/img/201502/09231914_7N8Y.png)
输入与网站相关的信息
![](http://static.oschina.net/uploads/img/201502/09231914_mI8k.png)
再来一个下一步
![](http://static.oschina.net/uploads/img/201502/09231914_luJK.png)
输入相关地理信息
![](http://static.oschina.net/uploads/img/201502/09231915_z5lP.png)
导出证书申请信息
![](http://static.oschina.net/uploads/img/201502/09231915_420B.png)
做最后的信息确认
![](http://static.oschina.net/uploads/img/201502/09231915_13RH.png)
![](http://static.oschina.net/uploads/img/201502/09231916_UOHD.png)
登陆CA证书WEB站点,申请高级证书
![](http://static.oschina.net/uploads/img/201502/09231916_waag.png)
点击进阶证书要求(跟简体中文不大容易理解)
![](http://static.oschina.net/uploads/img/201502/09231916_uGev.png)
点击第二条,这样我们就可以使用之前生成的申请CA证书的信息文件了
![](http://static.oschina.net/uploads/img/201502/09231917_K2al.png)
以下为之前生成的certrq.txt文档的内容
![](http://static.oschina.net/uploads/img/201502/09231917_Xp09.png)
将这些信息插入到这里(备注:记得证书范本一定要选网页伺服器哟)
![](http://static.oschina.net/uploads/img/201502/09231917_nUZo.jpg)
我们要保存证书了。这个证书就是以后用来做SSL认证用的。
![](http://static.oschina.net/uploads/img/201502/09231918_29Wq.png)
保存这个证书颁发机构的证书连接,以保证ISA与OWA网站可以共同信任这个站点,这一点很重要哟,没有它你注全功尽弃了。
![](http://static.oschina.net/uploads/img/201502/09231918_kO1w.png)
打开OWA站点――属性――目录安全设定――安全通讯――伺服器认证,我们要安装这个证书了!
安装证书的精灵
![](http://static.oschina.net/uploads/img/201502/09231918_yWtn.png)
处理已经下载的证书
![](http://static.oschina.net/uploads/img/201502/09231919_odg2.png)
导入证书文件
![](http://static.oschina.net/uploads/img/201502/09231919_woW2.png)
使用SSL443标准的连接端口
![](http://static.oschina.net/uploads/img/201502/09231919_4V67.png)
信息确认(来自certnew.cer这个证书中,也是我们之前在申前时设定的)
![](http://static.oschina.net/uploads/img/201502/09231920_oaZw.png)
完成证书导入
![](http://static.oschina.net/uploads/img/201502/09231920_ushV.png)
现在我们来看看我们安装好的SSL证书。有提示:无法确认这个对象。为什么呢?因为目前颁发证书的机构不受我们计算机信任。哈哈,那我就让它信任我们自己的颁发机构!
![](http://static.oschina.net/uploads/img/201502/09231920_b4bP.png)
现在我们要将CA证书链安装到OWA网站
1、选择开始――运行――MMC――选择档案――新增嵌入式管理单元――新增――证书
选择使用者证书:
![](http://static.oschina.net/uploads/img/201502/09231921_7Que.png)
开始导入我们的CA信任链接,将其导入到证书(目前使用者)――受信任的颁发机构
![](http://static.oschina.net/uploads/img/201502/09231923_jBWE.png)
找到我们之前下载的CA证书链
![](http://static.oschina.net/uploads/img/201502/09231924_lOFA.jpg)
选择证书存放位置
![](http://static.oschina.net/uploads/img/201502/09231924_iJNn.jpg)
OK,信任证书导入完成!
![](http://static.oschina.net/uploads/img/201502/09231926_5Rch.jpg)
现在我们来看一看刚才那个不受信任的证是否还存在。
OK,证书颁发机构已经受到的信任了!
![](http://static.oschina.net/uploads/img/201502/09231927_ItEL.png)
现在开始让我们的EX开启SSL表单认证了!
1、找到EX通讯协议HTTP的位置,并且右击属性
![](http://static.oschina.net/uploads/img/201502/09231928_5reu.png)
OK,已设定表单认证
![](http://static.oschina.net/uploads/img/201502/09231928_bEpA.png)
现在我们来测一下!提示让你使用SSL连接。
![](http://static.oschina.net/uploads/img/201502/09231928_Kh9z.png)
小插曲 :(由于IIS出现了问题,使用HTTPS也无法登陆。于是
重建了一下IIS
,并写了一篇博文 )
继续我们的实验!(重建IIS后仍无法解决HTTPS登陆的问题,目前正在排错中)
现在遇到的问题是:在上面的一切做完之后,使用HTTPS无法进行登录,也没有任何的错误提示。在些非常感觉MCSE群及Exchange2007群用户对我的回复,特别是来自MCSE论坛的芈祖。在你的协助下,帮我完成了整个实验中最关键的排错部分。再次感谢!
经过相关的排错,发现由于博主一时大意,没注意到证书选项,导致证书模板错误,以致于出刚才HTTPS无法使用的问题。说明博主的技术有待提高,博主将继续努力!
现在我们来看看配置正常后的截图:(EX及证书部配置完成)
![](http://static.oschina.net/uploads/img/201502/09231929_JNEJ.png)
到此为止,整个实验已经完成了50%,有关OWA SSL发布问题博主将会在下篇博文中进行发布。
本文出自 “潜入技术的海洋” 博客,谢绝转载!
相关文章推荐
- ISA2006发布SSL OWA之一SSL及CA证书配置篇 推荐
- 易宝典文章——用ISA 2006标准版发布Exchange 2010的OWA系列之创建Web侦
- isa 2006 下发布 owa
- 使用ISA Server 2006发布Exchange Server 2007安全的Web、安全的OWA和Outlook Anywhere
- 易宝典文章——用ISA 2006标准版发布Exchange 2010的OWA系列之绑定Excha
- 易宝典文章——用ISA 2006标准版发布Exchange 2010的OWA系列之创建发布规则
- ISA 2006发布SSL WEB站点失败--细节
- 易宝典文章——用ISA 2006标准版发布Exchange 2010的OWA系列之外网客户端
- ISA Server 2006发布owa 2007的注意事项和排错提示
- 使用ISA Server 2006发布Exchange Server 2007安全的Web、安全的OWA和Outlook Anyw
- 在ISA2006以SSL-TO-HTTP方式发布内部的WEB服务器(二) 推荐
- 易宝典文章——用ISA 2006标准版发布Exchange 2010的OWA系列之外网客户端
- ISA2006发布Exchange2007 OWA
- 易宝典文章——用ISA 2006标准版发布Exchange 2010的OWA系列之创建发布规则
- 易宝典文章——用ISA 2006标准版发布Exchange 2010的OWA系列之网络结构篇
- 易宝典文章——用ISA 2006标准版发布Exchange 2010的OWA系列之创建Web侦
- 易宝典文章——用ISA 2006标准版发布Exchange 2010的OWA系列之生成Exchange证书申请文件
- ISA Server 2006 发布owa 2007 的注意事项和排错提示
- 在工作组环境下的 ISA Server 2006 上发布 Windows SBS 2003 R2 ST 中的 Exchange Server OWA