MOLEHAND Solutions - Nagyvállalati megoldások mindenkinek

 
febr. 22

Written by: MOLEHAND
2010. 02. 22. 13:10

Mint az előző cikkben említettem az Outlook rengeteg Exchange szolgáltatást HTTP-n keresztül használ függetlenül a csatlakozás módjától. Ezért fokozottan fontos HTTPS esetén a megfelelő tanúsítványok használata.
 
Az különböző Exchange szolgáltatások azonban különböző címeken érhetőek el (pl.: autodiscover.molehand.eu, owa.molehand.eu). Továbbá MAPI RPC-n való közvetlen csatlakozáskor a belső címek is teret kapnak (mhxch, mhxch.mh.local). Az Exchange 2007 a kapcsolódás helyétől függetlenül mindig ugyanazt a tanúsítványt küldi a kliensnek. Kizárólag külső csatlakozás esetében ez egy wildcard nevet (*.molehand.eu) felhasználva a tanúsítványban megoldható lenne a probléma. Azonban ha belső hálózatról is kommunikálunk RPCoHTTP nélkül a szerverrel, akkor több host nevet is el kell helyeznünk a tanúsítványban. Erre ad lehetőséget a Subject Alternative Name (SAN) mező a tanúsítványokban.
 
A SAN támogatása sajnos nem teljes - nem támogatja az ISA 2006 SP1 nélkül, több tanúsítványkiadó szervezet se, és az OpenSSL régi verziói se.
 
SAN tanúsítvány kiadása/megújítása és beállítása Exchange 2007-en és ISA 2006 SP1-en:

1. Állítsuk elő a certificate requestet az EMS-ben:

New-ExchangeCertificate -DomainName *.molehand.eu, mhxch, mhxch.mh.local -IncludeAcceptedDomains -FriendlyName "*.molehand.eu" -IncludeAutoDiscover -GenerateRequest:$True -Keysize 2048 -path c:\certreq.txt -privatekeyExportable:$true -subjectName "c=HU, O=Molehand Ltd., OU=Solutions, L=Budapest, CN=*.molehand.eu"

DomainName paraméterben felsoroljuk a külső és belső címeket. Az IncludeAcceptedDomains, és IncludeAutoDiscover paraméterek miatt az EMS automatikusan kiegészíti további alternatív nevekkel a tanúsítványt ha szükséges. Mivel ISA szerverre is szeretnénk importálni a tanúsítványt, ezért a PrivateKeyExportable legyen true.

2. A certsrv segítségével adjuk ki a requestnek megfelelő tanúsítványt. Az eredmény egy p7b kiterjesztésű fájl lesz, ami nem tartalmazza a privát kulcsot, tehát ez nem importálható az ISA szerverre.

3. A privát kulccsal rendelkező tanúsítvány megszerzéséhez először importálnunk kell a tanúsítványt az Exchange szerverre:

Import-ExchangeCertificate –Path c:\mhxch.p7b | Enable-ExchangeCertificate –Services IIS, POP, IMAP

4. Ezekután az Exchange szerveren a Certificates MMC Local Computer - Personal tárolójából exportálhatjuk .pfx kiterjesztéssel a privát kulcsot tartalmazó tanúsítványt.

5. A .pfx kiterjesztésű tanúsítványt importáljuk az ISA szerveren a Certificates MMC Local Computer - Personal tárolójába.

6. Az ISA szerveren a megfelelő HTTPS listener Certificates fülén kiválaszthatjuk az új tanúsítványt.

Bővebb információk, de 3rd party tanúsítványkibocsátót használva:

http://www.msexchange.org/articles_tutorials/exchange-server-2007/mobility-client-access/securing-exchange-2007-client-access-server-3rd-party-san-certificate.html

Tags:

1 comments so far...

Exchange 2007 tanúsítványkezelés

Self-signed Exchange 2007 által aláírt tanúsítvány esetén:
Kiválasztjuk az aktuálisan használt cert thumbprintjét:

Get-ExchangeCertificate -domain "exchange.sotrak.hu" | fl

A régi certificate alapján elvégezzük a megújítást a következő paranccsal:
Get-ExchangeCertificate -thumbprint "C5DD5B60949267AD624618D8492C4C5281FDD10F" | New-ExchangeCertificate
 
Ellenőrizzük az megújított tanúsítvány létrejöttét, és a thumprintjét felhasználva engedélyezzük a használatát az OWA számára. Alapértelmezetten csak az IMAP/POP3/SMTP szolgáltatások számára engedélyeződik.
 
Enable-ExchangeCertificate -thumbprint "3DA55740509DBA19D1A43A9C7161ED2D0B3B9E3E" -services IIS

By Gömbös Attila on   2010. 03. 25. 12:15

Your name:
Title:
Comment:
Security Code
Enter the code shown above in the box below
Add Comment    Mégsem  
 

Számítsa ki költségeit
  kalkulátorunkkal

tovább    

és nyerje meg
50 000 Ft értékű

ajándékunkat  

Akciós ajánlatunk

 Több szolgáltatót is volt szerencsém kipróbálni. Jelenleg minden projektünk a MOLEHAND-nél van elhelyezve, mert Ők nem csak egy szelet számítógépet adnak, hanem valódi szolgáltatást: Akármibe ütközök számíthatok a gyors és szakszerű reakcióra!