Защита Exchange Server 2007 с помощью

Одна из важнейших задач, которую приходится решать администраторам многих сетей,?— доступ удаленных и мобильных пользователей к внутренним ресурсам, особенно к службам электронной почты. В Microsoft Exchange Server 2007 есть несколько служб, доступных пользователям через Internet, и при неправильной настройке они могут представлять угрозу для системы. Однако можно безо всякого риска опубликовать службы Exchange 2007 через Microsoft ISA Server 2006. Далее в статье рассказывается о том, как это сделать.

ISA Server, Exchange 2007 Client Access и Edge Transport

ISA Server обеспечивает функциональность proxy-сервера для входящих и исходящих соединений, фильтрацию прикладного уровня и распознавание несанкционированного доступа, чтобы защитить службы Exchange 2007 от злоумышленников и предоставить корпоративным пользователям оптимальный уровень доступа.

Экземпляр Exchange 2007 в организации может иметь несколько серверных ролей. В данной статье описывается, как ISA Server обеспечивает доступность серверных ролей клиентского доступа Client Access и пограничной обработки, или транспорта, Edge Transport пользователям Internet и других серверов SMTP. Серверная роль Client Access использует протоколы HTTP, HTTP Secure (HTTPS) и дополнительно POP3 и IMAP; серверная роль Edge Transport использует только SMTP и DNS для преобразования имен. Эти протоколы применяются в службах, связанных с Exchange 2007,?— Outlook Web Access (OWA), Outlook Anywhere (в прошлом известная как RPC over HTTP), Exchange ActiveSync, Autodiscover — и таких приложениях, как Outlook Express и программа Windows Mail, сменившая Outlook Express в Windows Vista.

Первый шаг — настроить серверы Exchange 2007, которые должны быть доступны из Internet, в качестве клиентов Secure Network Address Translation (NAT) сервера ISA Server. Для этого шлюзу серверов по умолчанию назначается внутренний IP-адрес компьютера ISA Server или серверы направляются на внутренний сетевой адаптер ISA Server через сетевой маршрутизатор.

При использовании ISA Server все клиентские соединения завершаются на ISA Server, который представляет себя клиентам как сервер клиентского доступа Exchange с ролью Client Access. Он принимает клиентские соединения, запрашивает у клиентов информацию для проверки подлинности, предварительно проверяет подлинность, анализирует содержимое сообщений и организует новое, зашифрованное соединение с реальным сервером клиентского доступа во внутренней сети от имени пользователя. Рассмотрим сначала публикацию службы OWA, размещенной на сервере Exchange 2007 с ролью Client Access для пользователей в Internet. После публикации OWA аналогичным образом публикуются и другие службы. Последний шаг — публикация сервера с ролью Edge Transport на ISA Server для связи с другими серверами SMTP в Internet.

Подготовка сертификатов

Чтобы организовать зашифрованные соединения между клиентами, ISA Server и сервером Exchange 2007 с ролью Client Access, необходимо установить сертификат SSL на ISA Server и на сервере клиентского доступа. ISA Server будет выдавать себя за сервер клиентского доступа, поэтому его сертификат должен иметь такое же имя, как сертификат сервера клиентского доступа.

Один из способов получить сертификат с одинаковым именем на обоих серверах — экспортировать его из сервера клиентского доступа и установить на ISA Server. По умолчанию сервер клиентского доступа будет иметь самоподписанный сертификат, но его следует заменить сертификатом, изданным корпоративным центром сертификации (CA) или, еще лучше, коммерческим CA. Заменить самоподписанный сертификат нужно потому, что пользовательские приложения не доверяют ему и выдают предупреждающие сообщения, хотя соединение будет шифроваться.

Существует два способа получить новый сертификат для сервера клиентского доступа. Из оснастки Certificates консоли Microsoft Management Console (MMC) можно обратиться к мастеру Certificate Request, чтобы запросить и получить сертификат от реального CA или использовать оболочку Exchange Management Shell для подготовки запроса сертификата, который позднее будет представлен в CA.?Использование EMS вместо оснастки Certificates обосновано, если требуется иметь несколько имен узлов (известных как альтернативные имена субъекта или имена субъекта) в одном сертификате — например, если нужно опубликовать службы OWA и Autodiscover на одном сайте. Сделать это можно только через EMS, с помощью команды со следующим синтаксисом:

New-ExchangeCertificate
–generaterequest
–subjectname «dc=local, dc=domain1,
o=Organization Name,
cn=exchange.domain1.local»
–domainname CAS01,
CAS01.exchange.domain1.com,
exchange.domain1.local,
autodiscover.domain1.com
–path c:\certrequest_cas01.txt

Эта команда подготавливает текстовый файл, который можно использовать для запроса сертификата для сервера с именем exchange.domain1.local, из domain1.local, с именами субъекта, указанными после ключа -domainname.

Запрос можно представить в CA домена с помощью оснастки Certificates или страницы Web Enrollment, выбрав Advanced certificate request, а затем щелкнув Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file. Доступ к странице Web Enrollment можно получить, введя адрес http://CAname/certsrv. Однако автоматическое издание сертификатов, запрошенных через страницу Web Enrollment, возможно только при установленном корпоративном центре CA.

Установить сертификат просто. Если сертификат запрошен через оснастку Certificates или с помощью Web Enrollment из корпоративного CA, установка выполняется автоматически, если только администратор не запретил автоматическое издание сертификатов. Если послан запрос, созданный с использованием EMS, запрошен сертификат из автономного CA внутри компании или куплен коммерческий сертификат, то нужно импортировать сертификат в хранилище сертификатов учетной записи локального компьютера в оснастке Certificates. Импорт сертификата на ISA Server описан ниже.

После установки сертификата можно использовать оснастку IIS консоли MMC, чтобы назначить сертификат Web-узлу по умолчанию. Для этого требуется запустить оснастку IIS, развернуть узел Web Sites, щелкнуть правой кнопкой мыши на Default Web Site, выбрать пункт Properties и перейти на вкладку Directory Security. Нажмите кнопку Server certificate, чтобы запустить мастер для управления сертификатами. Выберите параметры для замены текущего (самоподписанного) сертификата и укажите новый сертификат для замены.

Затем нужно экспортировать новый сертификат в ISA Server. Откройте оснастку IIS на сервере клиентского доступа, разверните узел Web Sites и щелкните правой кнопкой мыши на Default Web Site. Выберите пункт Properties, перейдите на вкладку Directory Security и нажмите кнопку View Certificate. На вкладке Details щелкните Copy to file, чтобы запустить мастер для экспорта сертификата. Выберите режим экспорта закрытого ключа, включите надежную защиту ключа и экспортируйте полный путь сертификата. Сохраните сертификат в формате pfx и скопируйте файл в папку на ISA Server.

На ISA Server щелкните кнопку Start, выберите пункт Run, введите mmc.exe, чтобы открыть MMC, и добавьте оснастку Certificates. На экране, который появляется после добавления оснастки, выберите учетную запись Computer; нажмите Next и выберите Local Computer. Вернитесь на основной экран оснастки Certificates и разверните Certificates — Personal. Щелкните правой кнопкой мыши Personal и выберите команды All Tasks, Import для запуска мастера Certificate Import. Найдите pfx-файл, скопированный из сервера клиентского доступа, введите пароль для надежной защиты и завершите работу мастера, не отмечая ключ как экспортируемый. Сертификат из сервера клиентского доступа установлен на ISA Server.

Дополнительные сведения об установке и использовании сертификатов в Exchange можно найти в «Managing SSL for a Client Access Server» (http://technet.microsoft.com/en-us/library/bb310795.aspx).

К этой статье пока нет комментариев


Чтобы добавить свой комментарий необходимо зарегистрироваться на сайте