OWA vs. HTTPS IV.
2004/09/19 00:48
813 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Mostanra meghatározott koreográfia alapján kértünk és kaptunk egy tanúsítványt, amelyet már le is töltöttünk. Már csak meg kell etetni az IIS-sel és rábírni arra hogy használja is.

Emlékezzünk megint!

Az egész cikksorozaton átívelő feladatok a következőek (sorrendben)

  • Tanúsítványkiszolgálót telepítünk (a II. részben)
  • Tanúsítványt kérünk (a III. részben)
  • Letöltjük a tanúsítványt (a III. részben)
  • Telepítjük a tanúsítványt (ebben a cikkben)
  • Beizzítjuk az IIS-t a HTTPS használatára (ebben a cikkben)

A tanúsítvány telepítése

  1. Internet Services Manager > Default Web Site > Properties > Directory Security
  2. A "Server Certificate" gombra elindul a varázsló, és észleli, hogy itt korábban egy tanúsítvány kérés lett elindítva, ezért a "Pending Certificate Request" oldalon válasszuk a "Process the pending request..." sort.
  3. A "Process a Pending Request" oldalon "tallózzuk be" a tanúsítványkiadótól elmentett fájl nevét.
  4. A varázsló rákérdez az SSL portra, ez alapértelmezés szerint a 443-as, fogadjuk el, ha nincs alapos okunk másikat választani.
  5. A varázsló felismeri és telepíti a tanúsítványt.

Az IIS beállítása a HTTPS használatára

Ezután a webkiszolgáló tulajdonságlapjának "Directory Security" oldalán a "Secure Communications" mezőben aktívvá váltak a "View Certificate..." és az "Edit..." gombok. Ellenőrizzük azt is, hogy a tulajdonságlap "Web Site" oldalán az SSL port mezőben megjelent-e a 443-as szám.

Ha az eredeti célunkat, azaz az OWA titkosított használatát szeretnék megoldani, akkor tegyük meg még a következő lépéseket.

  1. Internet Information Services > Exchange mappa > Properties
  2. "Directory Security" > "Secure Communications" > "Edit..."
  3. A megjelenő "Secure Communications" lapon kapcsoljuk be a "Require Secure Channel (SSL)" opciót, amely azt eredményezi, hogy muszáj lesz használni a HTTPS-t az OWA eléréséhez. A weblap többi része marad HTTP alapú, hiszen csak az Exchange mappán kértünk változást.

Teszteljünk!

Végül, próbáljuk ki, eredményes volt-e, amit elkövettünk. Ha simán HTTP-vel próbáljuk a "Require..." opció miatt egy olyan hibaüzenetet kapunk a böngészőben, amelyből kiderül, hogy ez az oldal csak HTTPS-en keresztül érhető el (HTTP Error 403.4). Ha viszont HTTPS előtagot írunk az OWA URL-jéhez, akkor csont nélkül működik. Pontosabban csak az adott tartományban, mivel ezen belül a kliens megbízik a helyi CA-ban. Ellenkező esetben egy biztonsági figyelmeztetést kapunk, amely kifogásolja, hogy a tanúsítvány nem egy minősített, hivatalos CA-tól származik. Ne lepődjünk meg, persze hogy nem, hiszen mi adjuk. De honnan tudja a böngésző, hogy mi nem vagyunk azok? A saját kis listájából, amelyet az IE-ben a Tools/Internet Options/Content/Publishers/ Trusted Root Certificate Authorities alatt találhatunk. Ide kellene bejegyezni a mi CA-nkat és akkor a hibaüzenet is elmúlna... Megtehetjük, vegyük fel az "Import..." gombbal a birtokunkban levő tanúsítványt. Egy tartományon belül ugyanezt, központilag is előírhatjuk a Csoportházirendben, egy ún. "Automatic Certificate Request" kérést kreálva. Ezt a következő helyen (egy varázslóval) tudjuk megvalósítani: Computer Configuration/Windows Settings/Security Setings/Public Key Policies

Sajnos ezt - a Csoportházirend miatt - csak Windows 2000 vagy annál újabb kliensekkel tehetjük meg, a többi Windows-nál marad a kézi tanúsítvány importálás. Persze, ha a hibaüzenet ellenére továbbmegyünk, akkor (ahogyan volt már erről szó) is nyugodtan használhatjuk a HTTPS protokollt, és vele a kiérdemelt biztonságot.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek