Chủ Nhật, 11 tháng 3, 2012

Cấu hình SSL Certificate trong Exchange Server 2010 « Windows Server 2008

Yêu cầu SSL trong Exchange Server 2010

Đối với Exchange Server 2007 và bây giờ là Exchange Server 2010, Microsoft đã thay đổi những cài đặt mặc định để tất cả dịch vụ ,kể cả những dịch vụ ở trong mạng, đều phải cần đến SSL. Một server sử dụng Exchange Server 2010 và đóng vai trò như một Client Access server sẽ bắt buộc các dịch vụ sau phải dùng SSL:
  • Outlook Web App
  • ActiveSync
  • Exchange Web Services
  • Outlook Anywhere
Admin có thể bỏ chức năng yêu cầu SSL tuy nhiên nên nhớ rằng mã hóa SSL là điều vô cùng cần thiết để bảo vệ các giao tiếp của Exchange Server 2010 vì sẽ rất nguy hiểm nếu để server có các kết nối HTTP
Vì chức năng yêu cầu SSL là mặc định của Exchange 2007 và Exchange 2010 khi cài đặt nên tự động sẽ có một cert SSL do máy tự xác nhận. Cert tự xác nhận này sẽ có nhiệm vụ bảo mật các kết nối nối SSL. Tuy nhiên, vì nó là do máy tự xác nhận nên sẽ không có một client hay một thiết bị nào tin tưởng vào cert này. Chính vì thế Admin cần tạo ra một cert SSL mới cho Exchange Server 2010.

Cấu hình

Trong mục Exchange Management Console ở bảng bên trái | chọn Server Configuration |  chuột phải vào tên Server | New Exchange Certificate.
Đặt tên cho certificate
Mặc dù wildcard cert vẫn được hỗ trợ nhưng Exchange Server 2010 đề nghị nên sử dụng SAN (Subject Alternative Name) cert
Tiếp theo chúng ta sẽ đặt tên cho các dịch vụ của Exchange Server 2010 được bảo mật bởi cert SSL
Đầu tiên là dịch vụ Outlook Web App.  Nhập tên internal (để ta truy cập từ trong mạng) và external (để ta truy cập từ ngoài mạng) cho Outlook Web App.  Trong ví dụ này "ex2010.contoso.local" là internal và"mail.contoso.local" là external.
Tiếp theo là tên domain ActiveSync.
Tiếp theo là tên cho các dịch vụ Web, dịch vụ Outlook Anywhere và Autodiscover.  
Hub Transport server cũng cần tới SSL để bảo mật cho giao tiếp SMTP.
Trong trường hợp bạn muốn chuyển dữ liệu dần dần từ Exchange Server 2003 sang Exchange Server 2010, bạn sẽ cần đặt tên cho legacy domain.
Khi các dịch vụ đã được cấu hình xong, ta sẽ sang bước tiếp theo
Hãy chắc chắn rằng bạn đã đặt những tên cần thiết để tạo một cert mới. Ngoài ra, vào lúc này, bạn có thể bổ sung những tên khác vào trước khi tiếp tục
Tiếp theo là điền thông tin về doanh nghiệp, địa điểm của doanh nghiệp cho cert và nơi để lưu file request cho certificate.
Khi đã điền đầy đủ thông tin. Chọn New và tạo một file request mới
Xác nhận file request đã được tạo thành công
Bạn hãy để ý rằng chương trình sẽ đề nghị loại certifiacte dành cho doanh nghiệp của bạn dựa vào những thông tin trên . Đa số là "Unified Communications certificate", thật ra đây là một tên khác của SAN certificate
Sau khi đã tạo ra 1 cert mới, ta quay trở lại cửa sổ Exchange Management Console tiếp tục chọn Server Configuration, chuột phải trên server ở bảng bên phải (ở dưới) và chọnComplete Pending Request
Chọn đường dẫn tới file mà bạn đã download từ CA và hoàn thành quá trình cài đặt. Confirm SSL cert đã được import thành công
Cert mới sẽ được xuất hiện trong danh sách các cert có hiệu lực trên server

Assign the New Certificate to Exchange Server 2010

Sau khi cài đặt một cert mới, ta sẽ dùng nó cho Exchange Server 2010. Chuột phải lên cert mới đó và chọn Assign Services to Certificate.
Chọn đến Exchanger server và click Next
Chọn những dịch vụ sẽ sử dụng cert này. Trong ví dụ dưới đây, ta chọn dịch vụ IIS và SMTP
Hoàn thành quá trình cài đặt để cert SSL có hiệu lực trên dịch vụ Exchange Server. Sẽ xuất hiện bảng thông báo cert mới sẽ được ghe đè lên cert tự xác nhận (self-signed) từ trước, chọn Yes ở bảng thông báo này

 

Exchange 2010 SAN Certificates

Những người đã từng cài đặt cert SSL cho các bản Exchange trước đây có thể quen với quá trình cài đặt nhưng có thể sẽ thấy lạ lẫm với yêu cầu về certificate SSL trong Exchange Server 2010
Exchange Server 2010 sẽ trả lời kết nối qua nhiều tên. Những cái tên đó gồm
  • Tên đầy đủ của domain (fully qualified domain name) (FQDN) của Exchange server, ví dụ: ex2.exchangeserverpro.net
  • Tên alias được đặt bằng DNS dùng cho kết nói tứ ngoài mạng, ví dụ: mail.exchangeserverpro.net hoặc webmail.exchangeserverpro.net
  • Tên Autodiscover cho mỗi kết nối SMTP trong công ty, ví dụ: autodiscover.exchangeserverpro.net
Điều này làm cho những loại cert SSL chỉ dành một tên trở nên không phù hợp nữa. Thay vào đó, Exchange Server 2010 dùng certificate SAN
SAN (Subject Alternative Names) là một loại certificate SSL có chức năng lưu trữ những cái tên phụ của Server để certificate SSL có thể nhận biết những tên đó. Ví dụ dưới đây là cert dùng để bảo mật cho dịch vụ Outlook Web App của Microsoft

Lược dịch từ http://exchangeserverpro.com


http://hoangho.wordpress.com/2012/02/25/c%e1%ba%a5u-hnh-ssl-certificate-trong-exchange-server-2010/

Không có nhận xét nào:

Đăng nhận xét

(Chơi cho vui) AIRDROP CHAINGE FINANCE - dự án xây dựng ứng dụng ngân hàng số cho mọi người

 Không hiểu lắm về cái này, tuy nhiên thấy quảng cáo khá nhiều, lại chỉ cung cấp vài thông tin cá nhân (mà mấy ông lớn như facebook với goog...