MOLEHAND Solutions - Nagyvállalati megoldások mindenkinek

 
Nyomtat  
By Gömbös Attila on 2010. 02. 22. 13:10

Mint az előző cikkben említettem az Outlook rengeteg Exchange szolgáltatást HTTP-n keresztül használ függetlenül a csatlakozás módjától. Ezért fokozottan fontos HTTPS esetén a megfelelő tanúsítványok használata.
 
Az különböző Exchange szolgáltatások azonban különböző címeken érhetőek el (pl.: autodiscover.molehand.eu, owa.molehand.eu). Továbbá MAPI RPC-n való közvetlen csatlakozáskor a belső címek is teret kapnak (mhxch, mhxch.mh.local). Az Exchange 2007 a kapcsolódás helyétől függetlenül mindig ugyanazt a tanúsítványt küldi a kliensnek. Kizárólag külső csatlakozás esetében ez egy wildcard nevet (*.molehand.eu) felhasználva a tanúsítványban megoldható lenne a probléma. Azonban ha belső hálózatról is kommunikálunk RPCoHTTP nélkül a szerverrel, akkor több host nevet is el kell helyeznünk a tanúsítványban. Erre ad lehetőséget a Subject Alternative Name (SAN) mező a tanúsítványokban.
 
A SAN támogatása sajnos nem teljes - nem támogatja az ISA 2006 SP1 nélkül, több tanúsítványkiadó szervezet se, és az OpenSSL régi verziói se.
 
SAN tanúsítvány kiadása/megújítása és beállítása Exchange 2007-en és ISA 2006 SP1-en:

1. Állítsuk elő a certificate requestet az EMS-ben:

New-ExchangeCertificate -DomainName *.molehand.eu, mhxch, mhxch.mh.local -IncludeAcceptedDomains -FriendlyName "*.molehand.eu" -IncludeAutoDiscover -GenerateRequest:$True -Keysize 2048 -path c:\certreq.txt -privatekeyExportable:$true -subjectName "c=HU, O=Molehand Ltd., OU=Solutions, L=Budapest, CN=*.molehand.eu"

DomainName paraméterben felsoroljuk a külső és belső címeket. Az IncludeAcceptedDomains, és IncludeAutoDiscover paraméterek miatt az EMS automatikusan kiegészíti további alternatív nevekkel a tanúsítványt ha szükséges. Mivel ISA szerverre is szeretnénk importálni a tanúsítványt, ezért a PrivateKeyExportable legyen true.

2. A certsrv segítségével adjuk ki a requestnek megfelelő tanúsítványt. Az eredmény egy p7b kiterjesztésű fájl lesz, ami nem tartalmazza a privát kulcsot, tehát ez nem importálható az ISA szerverre.

3. A privát kulccsal rendelkező tanúsítvány megszerzéséhez először importálnunk kell a tanúsítványt az Exchange szerverre:

Import-ExchangeCertificate –Path c:\mhxch.p7b | Enable-ExchangeCertificate –Services IIS, POP, IMAP

4. Ezekután az Exchange szerveren a Certificates MMC Local Computer - Personal tárolójából exportálhatjuk .pfx kiterjesztéssel a privát kulcsot tartalmazó tanúsítványt.

5. A .pfx kiterjesztésű tanúsítványt importáljuk az ISA szerveren a Certificates MMC Local Computer - Personal tárolójába.

6. Az ISA szerveren a megfelelő HTTPS listener Certificates fülén kiválaszthatjuk az új tanúsítványt.

Bővebb információk, de 3rd party tanúsítványkibocsátót használva:

http://www.msexchange.org/articles_tutorials/exchange-server-2007/mobility-client-access/securing-exchange-2007-client-access-server-3rd-party-san-certificate.html

 

Számítsa ki költségeit
  kalkulátorunkkal

tovább    

és nyerje meg
50 000 Ft értékű

ajándékunkat  

Akciós ajánlatunk

 Több szolgáltatót is volt szerencsém kipróbálni. Jelenleg minden projektünk a MOLEHAND-nél van elhelyezve, mert Ők nem csak egy szelet számítógépet adnak, hanem valódi szolgáltatást: Akármibe ütközök számíthatok a gyors és szakszerű reakcióra!