MOLEHAND Solutions

 
febr. 22

Written by: MOLEHAND
2010. 02. 22. 13:10

Mint az előző cikkben említettem az Outlook rengeteg Exchange szolgáltatást HTTP-n keresztül használ függetlenül a csatlakozás módjától. Ezért fokozottan fontos HTTPS esetén a megfelelő tanúsítványok használata.
 
Az különböző Exchange szolgáltatások azonban különböző címeken érhetőek el (pl.: autodiscover.molehand.eu, owa.molehand.eu). Továbbá MAPI RPC-n való közvetlen csatlakozáskor a belső címek is teret kapnak (mhxch, mhxch.mh.local). Az Exchange 2007 a kapcsolódás helyétől függetlenül mindig ugyanazt a tanúsítványt küldi a kliensnek. Kizárólag külső csatlakozás esetében ez egy wildcard nevet (*.molehand.eu) felhasználva a tanúsítványban megoldható lenne a probléma. Azonban ha belső hálózatról is kommunikálunk RPCoHTTP nélkül a szerverrel, akkor több host nevet is el kell helyeznünk a tanúsítványban. Erre ad lehetőséget a Subject Alternative Name (SAN) mező a tanúsítványokban.
 
A SAN támogatása sajnos nem teljes - nem támogatja az ISA 2006 SP1 nélkül, több tanúsítványkiadó szervezet se, és az OpenSSL régi verziói se.
 
SAN tanúsítvány kiadása/megújítása és beállítása Exchange 2007-en és ISA 2006 SP1-en:

1. Állítsuk elő a certificate requestet az EMS-ben:

New-ExchangeCertificate -DomainName *.molehand.eu, mhxch, mhxch.mh.local -IncludeAcceptedDomains -FriendlyName "*.molehand.eu" -IncludeAutoDiscover -GenerateRequest:$True -Keysize 2048 -path c:\certreq.txt -privatekeyExportable:$true -subjectName "c=HU, O=Molehand Ltd., OU=Solutions, L=Budapest, CN=*.molehand.eu"

DomainName paraméterben felsoroljuk a külső és belső címeket. Az IncludeAcceptedDomains, és IncludeAutoDiscover paraméterek miatt az EMS automatikusan kiegészíti további alternatív nevekkel a tanúsítványt ha szükséges. Mivel ISA szerverre is szeretnénk importálni a tanúsítványt, ezért a PrivateKeyExportable legyen true.

2. A certsrv segítségével adjuk ki a requestnek megfelelő tanúsítványt. Az eredmény egy p7b kiterjesztésű fájl lesz, ami nem tartalmazza a privát kulcsot, tehát ez nem importálható az ISA szerverre.

3. A privát kulccsal rendelkező tanúsítvány megszerzéséhez először importálnunk kell a tanúsítványt az Exchange szerverre:

Import-ExchangeCertificate –Path c:\mhxch.p7b | Enable-ExchangeCertificate –Services IIS, POP, IMAP

4. Ezekután az Exchange szerveren a Certificates MMC Local Computer - Personal tárolójából exportálhatjuk .pfx kiterjesztéssel a privát kulcsot tartalmazó tanúsítványt.

5. A .pfx kiterjesztésű tanúsítványt importáljuk az ISA szerveren a Certificates MMC Local Computer - Personal tárolójába.

6. Az ISA szerveren a megfelelő HTTPS listener Certificates fülén kiválaszthatjuk az új tanúsítványt.

Bővebb információk, de 3rd party tanúsítványkibocsátót használva:

http://www.msexchange.org/articles_tutorials/exchange-server-2007/mobility-client-access/securing-exchange-2007-client-access-server-3rd-party-san-certificate.html

Tags:

1 comments so far...

Exchange 2007 tanúsítványkezelés

Self-signed Exchange 2007 által aláírt tanúsítvány esetén:
Kiválasztjuk az aktuálisan használt cert thumbprintjét:

Get-ExchangeCertificate -domain "exchange.sotrak.hu" | fl

A régi certificate alapján elvégezzük a megújítást a következő paranccsal:
Get-ExchangeCertificate -thumbprint "C5DD5B60949267AD624618D8492C4C5281FDD10F" | New-ExchangeCertificate
 
Ellenőrizzük az megújított tanúsítvány létrejöttét, és a thumprintjét felhasználva engedélyezzük a használatát az OWA számára. Alapértelmezetten csak az IMAP/POP3/SMTP szolgáltatások számára engedélyeződik.
 
Enable-ExchangeCertificate -thumbprint "3DA55740509DBA19D1A43A9C7161ED2D0B3B9E3E" -services IIS

By Gömbös Attila on   2010. 03. 25. 12:15

Your name:
Title:
Comment:
Security Code
Enter the code shown above in the box below
Add Comment    Cancel  
 

 

Discount offer

 I’ve already tried several providers. Currently all of our projects are placed at MOLEHAND, because they provide real services not only a piece of a computer. Any kind of new problem crops up, I can always count on a fast and expert reaction.