Emlékezzünk megint!
Az egész cikksorozaton átívelő feladatok a következőek (sorrendben)
- Tanúsítványkiszolgálót telepítünk (a II. részben)
- Tanúsítványt kérünk (a III. részben)
- Letöltjük a tanúsítványt (a III. részben)
- Telepítjük a tanúsítványt (ebben a cikkben)
- Beizzítjuk az IIS-t a HTTPS használatára (ebben a cikkben)
A tanúsítvány telepítése
- Internet Services Manager > Default Web Site > Properties > Directory Security
- A "Server Certificate" gombra elindul a varázsló, és észleli, hogy itt korábban egy tanúsítvány kérés lett elindítva, ezért a "Pending Certificate Request" oldalon válasszuk a "Process the pending request..." sort.
- A "Process a Pending Request" oldalon "tallózzuk be" a tanúsítványkiadótól elmentett fájl nevét.
- A varázsló rákérdez az SSL portra, ez alapértelmezés szerint a 443-as, fogadjuk el, ha nincs alapos okunk másikat választani.
- A varázsló felismeri és telepíti a tanúsítványt.
Az IIS beállítása a HTTPS használatára
Ezután a webkiszolgáló tulajdonságlapjának "Directory Security" oldalán a "Secure Communications" mezőben aktívvá váltak a "View Certificate..." és az "Edit..." gombok. Ellenőrizzük azt is, hogy a tulajdonságlap "Web Site" oldalán az SSL port mezőben megjelent-e a 443-as szám.
Ha az eredeti célunkat, azaz az OWA titkosított használatát szeretnék megoldani, akkor tegyük meg még a következő lépéseket.
- Internet Information Services > Exchange mappa > Properties
- "Directory Security" > "Secure Communications" > "Edit..."
- A megjelenő "Secure Communications" lapon kapcsoljuk be a "Require Secure Channel (SSL)" opciót, amely azt eredményezi, hogy muszáj lesz használni a HTTPS-t az OWA eléréséhez. A weblap többi része marad HTTP alapú, hiszen csak az Exchange mappán kértünk változást.
Teszteljünk!
Végül, próbáljuk ki, eredményes volt-e, amit elkövettünk. Ha simán HTTP-vel próbáljuk a "Require..." opció miatt egy olyan hibaüzenetet kapunk a böngészőben, amelyből kiderül, hogy ez az oldal csak HTTPS-en keresztül érhető el (HTTP Error 403.4). Ha viszont HTTPS előtagot írunk az OWA URL-jéhez, akkor csont nélkül működik. Pontosabban csak az adott tartományban, mivel ezen belül a kliens megbízik a helyi CA-ban. Ellenkező esetben egy biztonsági figyelmeztetést kapunk, amely kifogásolja, hogy a tanúsítvány nem egy minősített, hivatalos CA-tól származik. Ne lepődjünk meg, persze hogy nem, hiszen mi adjuk. De honnan tudja a böngésző, hogy mi nem vagyunk azok? A saját kis listájából, amelyet az IE-ben a Tools/Internet Options/Content/Publishers/ Trusted Root Certificate Authorities alatt találhatunk. Ide kellene bejegyezni a mi CA-nkat és akkor a hibaüzenet is elmúlna... Megtehetjük, vegyük fel az "Import..." gombbal a birtokunkban levő tanúsítványt. Egy tartományon belül ugyanezt, központilag is előírhatjuk a Csoportházirendben, egy ún. "Automatic Certificate Request" kérést kreálva. Ezt a következő helyen (egy varázslóval) tudjuk megvalósítani: Computer Configuration/Windows Settings/Security Setings/Public Key Policies
Sajnos ezt - a Csoportházirend miatt - csak Windows 2000 vagy annál újabb kliensekkel tehetjük meg, a többi Windows-nál marad a kézi tanúsítvány importálás. Persze, ha a hibaüzenet ellenére továbbmegyünk, akkor (ahogyan volt már erről szó) is nyugodtan használhatjuk a HTTPS protokollt, és vele a kiérdemelt biztonságot.