Jeśli jesteś właścicielem tej strony, możesz wyłączyć reklamę poniżej zmieniając pakiet na PRO lub VIP w panelu naszego hostingu już od 4zł!
Strony WWWSerwery VPSDomenyHostingDarmowy Hosting CBA.pl

Instalacja certyfikatu WildCard na MS Exchange 2010

  03 październik 2014
Oceń ten artykuł
(0 głosów)

Certyfikaty SSL typu Wildcard są zabezpieczeniem dla nieograniczonej liczby subdomen w jednej konkretnej domenie. Przykładowo, jeśli posiadasz certyfikat Wildcard SSL wystawiony dla ".xyzdomena.pl", wówczas będzie on szyfrował dane dla wszystkich domen drugiego rzędu, np. "pierwsza.xyzdomena.pl", "druga.xyzdomena.pl", "www.xyzdomena.pl" jak również dla domeny głównej "xyzdomena.pl". Nie będzie natomiast szyfrował transmisji dla domen trzeciego rzędu i kolejnych, np. "www.pierwsza.xyzdomena.pl", "subdomena.pierwsza.xyzdomena.pl".

Implementacja certyfikatu Wildcard SSL sprawdza się w wielu konfiguracjach, choć jak każde rozwiązanie posiada również swoje wady.

Instalacji certyfikatu na serwerze Exchange 2010.

W pierwszej kolejności należy zakupić certyfikat Wildcard, gdzie po uregulowaniu płatności generujemy plik CSR (Certificate Signing Request).

Do wygenerowania pliku posłuży nam IIS 7.5 zainstalowany na serwerze pocztowym.

Otwieramy przystawkę IIS Manager, wybieramy „Server Certificates”

Z prawego panelu wybieramy „Create Certificate Request”

W następnym oknie wypełniamy następujące pola:

  • Common Name (CN) - Dla certyfikatów Wildcard podajemy nazwę domeny w postaci [*.domena.tld].
  • Organization Name (O) - należy podać pełną i dokładną nazwę firmy, nazwa musi się zgadzać z nazwą przedstawioną w dokumentach rejestrowych tj. Regon lub KRS [Firma Sp. z o.o.].
  • Organizational Unit Name (OU) - należy podać nazwę działu firmy odpowiedzialnego za wdrożenie certyfikatu lub powtórzyć nazwę firmy w przypadku, gdy taka jednostka w firmie nie istnieje [Dział IT].
  • State or Province Name (ST) - należy podać nazwę województwa, w którym mieści się siedziba firmy [lubuskie].
  • Locality Name (L) - należy podać nazwę miejscowości, w którym mieści się siedziba firmy [Zielona Gora].
  • Country Name (C) - należy podać dwuliterowy kod kraju [PL].

Zmieniamy Bit lenght na 2048 bity, request musi mieć długość minimum 2048bity.

W następnym oknie, request zapisujemy w dowolnej lokalizacji, a następnie klikamy finish.

Uzupełniamy dane, wpisując nazwę domeny, dla której ma być certyfikat, a następnie wysyłamy plik CSR do centrum autoryzacji.

Po weryfikacji otrzymujemy plik z rozszerzeniem *.cert. Z menadżera IIS zatwierdzamy nasz request wybierając „complete Certificate Request”

Kolejnym krokiem jest zaimplementowanie certyfikatu w MS Exchange. W tym celu otwieramy Exchange Management Console, wchodzimy do sekcji zarządzania certyfikatami.

  1. Z prawego menu wybieramy „Import Exchange Certificate…”.
  2. Wskazujemy ścieżkę certyfikatu, a następnie importujemy go.
  3. Na liście certyfikatów przypisujemy usługi IIS i SMTP do zaimportowanego certyfikatu.

Instalacji certyfikatu na serwerze można również dokonać z konsoli PowerShell wpisując polecenie:

Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services SMTP,IIS

W celu ustawienia certyfikatu SSL dla POP i IMAP używamy komend PowerShella:

Set-ImapSettings -X509CertificateName mail.domain.com

Set-PopSettings -X509CertificateName mail.domain.com

W następnym kroku należy przejść do zmiany nazwy ścieżki URL na zgodną z certyfikatem w usługach: Autodiscover, OAB, EWS, OA, EAS.

W przypadku, gdy tego nie zrobimy użytkownicy korzystający z Outlooka przy każdym jego włączeniu otrzymają komunikat:

Aby temu zapobiec wykonujemy polecenia:

  • Set-ClientAccessServer -Identity "CAS"–AutodiscoverServiceInternalURI https://contoso.domain.com/autodiscover/autodiscover.xml
  • Set-WebServicesVirtualDirectory -Identity "CAS\EWS (Default Web Site)" –InternalUrl https:// contoso.domain.com /EWS/Exchange.asmx
  • Set-OABVirtualDirectory -Identity “cas\OAB (Default Web Site)” -InternalURL https:// contoso.domain.com /OAB
  • Enable-OutlookAnywhere -Server cas -ExternalHostname “ contoso.domain.com” -ClientAuthenticationMethod “NTLM”
  • Set-ActiveSyncVirtualDirectory -Identity “cas\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURL https:// contoso.domain.com /Microsoft-Server-Activesync

Przy próbie konfiguracji komputera z systemem Windows XP, który nie jest w sieci lokalnej będziemy mieli problem z zaakceptowaniem naszych poświadczeń. Jest to związane ze złym rozpoznawaniem nazwy certyfikatu przez system.

Aby móc skonfigurować konto w Outlooku musimy zmienić ustawienia autodiscover tak, aby nasz serwer wiedział, że używamy certyfikatu WildCard. Dlatego też na serwerze Exchange w linii poleceń PowerShell wpisujemy:

Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:*.contoso.com

Wdrożenie certyfikatu SSL w organizacji powoduje zwiększenie bezpieczeństwa oraz wiarygodności przesyłanych danych między jednostką zabezpieczoną a użytkownikiem. Tak jak już wcześniej wspominałem opisane rozwiązanie na swoje wady i zalety.

Zalety:

  • Rozwiązanie zapewnia zabezpieczenie dla nieograniczonej liczby subdomen, w przeciwnym wypadku musielibyśmy zakupić certyfikat dla każdej z osobna.
  • WildCard jest tańszy w przypadku wielu subdomen. Zakup pojedynczych certyfikatów dla większej liczby subdomen wiąże się z wyższymi kosztami.
  • Porównując pojedyncze certyfikaty, wdrożenie Wildcard SSL jest stosunkowo łatwiejsze.

Wady:

  • Jeżeli algorytm szyfrowania zostanie złamany na jednym z podmiotów, automatycznie zostają zagrożone wszystkie pozostałe zabezpieczone tym samym certyfikatem.
  • W przypadku, gdy mamy starszą konfigurację klient-server, może wystąpić brak płynności działania certyfikatu WildCard.
  • Niektóre centra np. Digi Cert mogą wystawić kilka certyfikatów dla tej samej domeny z innymi prywatnymi kluczami. Taka sytuacja znacznie komplikuje zarządzanie certyfikatami.

Artykuł opracował Michał Pszczółkowski,

Źródła:

  1. http://technet.microsoft.com/en-US/
  2. Opracowanie własne

Popularne