MS Exchange Server 2007 & Trusted SAN Certificates
Σήμερα, θα ασχοληθούμε με τη διαδικασία έκδοσης πιστοποιητικού για χρήση από το Microsoft Exchange Server.
Όλοι γνωρίζουμε πως κατά την εγκατάσταση του MS Exchange 2007, δημιουργείται και εγκαθίσταται από το server, ένα self signed certificate για χρήση με το default web site (https://servername/owa).
Αυτό το πιστοποιητικό όμως, παίζει ρόλο και στην πιστοποίηση τόσο των εσωτερικών χρηστών προς το server, όσο και πολλών services που μπορεί να λειτουργούν μέσα στο δίκτυο. Μεγάλο παράδειγμα (και αφορμή για το παρόν για να πω και την αλήθεια) το MS Office Communications Server 2007 R2 το οποίο διαβάζει πάρα πολλές πληροφορίες από τον Exchange, και χρησιμοποιεί τα certificates για μέρος του authentication.
Το αρχικό λοιπόν και εύκολο εκείνο πιστοποιητικό, έχει και κάποιες «ελλείψεις», ενώ η ίδια η Microsoft προτείνει να μην χρησιμοποιηθεί στην παραγωγή για μεγάλο χρονικό διάστημα. Πρώτη και καλύτερη είναι ότι αυτό το πιστοποιητικό δεν ανήκει σε κανένα Trusted Certification Authority με αποτέλεσμα να είναι αποδεκτό μόνο από τους χρήστες του Active Directory που κάνουν logon στον Exchange Server, και τους αρκεί που ταιριάζει το FQDN του Server με το FQDN του Certificate. Δεύτερη και πολύ σημαντική είναι ότι στο self signed certificate αναφέρεται μόνο το εσωτερικό όνομα του Server και μάλιστα με NETBios μορφή, με αποτέλεσμα να μην περιέχεται το πραγματικό FQDN (πχ mail.mydomain.gr) στο πιστοποιητικό (βλ προβλήματα στο συγχρονισμό από Windows mobile devices όταν αυτά βρίσκονται εκτός του εταιρικού δικτύου)
Για να ξεπεράσουμε αυτά (και άλλα που δεν έχω καταφέρει να ανακαλύψω) τα θέματα, η λύση ακούει στο όνομα «Certificate from a Trusted Certification Authority with support for SAN (Subject Alternate Name)». Το τελευταίο σημαίνει πως μπορούν να αναφέρονται πολλαπλά ονόματα τα οποία μπορεί να προστατεύει το συγκεκριμένο πιστοποιητικό (πχ mail.mydomain.gr , mail.mydomain.local , mail) αντί για ένα, που υποστηρίζει το default. Trusted Certification Authority, μπορεί να είναι κάποιος provider (πχ Verisign) αλλά για τα φτωχά μας budget μπορεί να είναι και ένας εσωτερικός CA Server, του οποίου τα πιστοποιητικά θα είναι trusted από όλους τους χρήστες και τους servers του Active Directory Domain μας.
Για να εκδώσουμε λοιπόν ένα SAN Certificate από τον τοπικό μας CA Server, ακολουθούμε την παρακάτω διαδικασία (το Certificate Request του IIS6 δεν μπορεί να παράξει τέτοιο πιστοποιητικό) :
Από Exchange Management Shell εκτελούμε την παρακάτω εντολή :
New-ExchangeCertificate –GenerateRequest:$true –Path c:\path\sancert.req –SubjectName “c=GR, s=Attika, l=Athens, o=MyCompany, cn=mail.mydomain.gr” -DomainName mail.mydomain.gr,mail.mydomain.local,mail –PrivateKeyExportable:$true –FriendlyName “Exchange Trusted SAN Certifiacte” –IncludeAcceptedDomains:$false –Force:$true<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
Η παραπάνω εντολή παράγει το αρχείο c:\path\sancert.req το οποίο ανοίγουμε με notepad.
Στη συνέχεια μεταβαίνουμε στη σελίδα αίτησης πιστοποιητικών του CA Server μας http://caserver/certsrv και επιλέγουμε Request a Certificate à Advanced Certificate Request à Submit a certificate request by using ….
Στο παράθυρο Saved Request κάνουμε paste τα περιεχόμενα του notepad που είχαμε ανοίξει νωρίτερα και στο Certificate Template επιλέγουμε Web Server και πατάμε Submit.
Στην επόμενη σελίδα μπορούμε πλέον να κάνουμε download το certificate και το αποθηκεύουμε στο c:\path\sancert.cer
Επιστρέφουμε στο Exchange Management Shell και πληκτρολογούμε την εντολή :
Import-ExchangeCertificate c:\path\sancert.cer
Το πιστοποιητικό έχει εγκατασταθεί με επιτυχία στο Server. Μένει άλλο ένα βήμα, από το IIS Management, ανοίγουμε το Security στα properties του default web site και πατάμε Server Certificate à Replace the current certificate à Επιλέγουμε το νέο πιστοποιητικό
Συγχαρητήρια! Ο exchange server μας είναι πλέον εφοδιασμένος με ένα ψηφιακό πιστοποιητικό το οποίο περιέχει όλα τα πιθανά ονόματα με τα οποία μπορεί κάποιος χρήστης να επικοινωνήσει μαζί του (μέσα ή έξω από το δίκτυο της εταιρείας μας) και το οποίο πλέον θεωρείται έμπιστο από όλους τους υπολογιστές, τους χρήστες και τα services που τρέχουν μέσα στο Active Directory Domain μας.
5 Comments
Recommended Comments