Jump to content
  • entries
    49
  • comments
    120
  • views
    19556

MS Exchange Server 2007 & Trusted SAN Certificates


gvarakis

1072 views

 Share

Σήμερα, θα ασχοληθούμε με τη διαδικασία έκδοσης πιστοποιητικού για χρήση από το Microsoft Exchange Server.

Όλοι γνωρίζουμε πως κατά την εγκατάσταση του MS Exchange 2007, δημιουργείται και εγκαθίσταται από το server, ένα self signed certificate για χρήση με το default web site (https://servername/owa).

Αυτό το πιστοποιητικό όμως, παίζει ρόλο και στην πιστοποίηση τόσο των εσωτερικών χρηστών προς το server, όσο και πολλών services που μπορεί να λειτουργούν μέσα στο δίκτυο. Μεγάλο παράδειγμα (και αφορμή για το παρόν για να πω και την αλήθεια) το MS Office Communications Server 2007 R2 το οποίο διαβάζει πάρα πολλές πληροφορίες από τον Exchange, και χρησιμοποιεί τα certificates για μέρος του authentication.

Το αρχικό λοιπόν και εύκολο εκείνο πιστοποιητικό, έχει και κάποιες «ελλείψεις», ενώ η ίδια η Microsoft προτείνει να μην χρησιμοποιηθεί στην παραγωγή για μεγάλο χρονικό διάστημα. Πρώτη και καλύτερη είναι ότι αυτό το πιστοποιητικό δεν ανήκει σε κανένα Trusted Certification Authority με αποτέλεσμα να είναι αποδεκτό μόνο από τους χρήστες του Active Directory που κάνουν logon στον Exchange Server, και τους αρκεί που ταιριάζει το FQDN του Server με το FQDN του Certificate. Δεύτερη και πολύ σημαντική είναι ότι στο self signed certificate αναφέρεται μόνο το εσωτερικό όνομα του Server και μάλιστα με NETBios μορφή, με αποτέλεσμα να μην περιέχεται το πραγματικό FQDN (πχ mail.mydomain.gr) στο πιστοποιητικό (βλ προβλήματα στο συγχρονισμό από Windows mobile devices όταν αυτά βρίσκονται εκτός του εταιρικού δικτύου)

Για να ξεπεράσουμε αυτά (και άλλα που δεν έχω καταφέρει να ανακαλύψω) τα θέματα, η λύση ακούει στο όνομα «Certificate from a Trusted Certification Authority with support for SAN (Subject Alternate Name)». Το τελευταίο σημαίνει πως μπορούν να αναφέρονται πολλαπλά ονόματα τα οποία μπορεί να προστατεύει το συγκεκριμένο πιστοποιητικό (πχ mail.mydomain.gr , mail.mydomain.local , mail) αντί για ένα, που υποστηρίζει το default. Trusted Certification Authority, μπορεί να είναι κάποιος provider (πχ Verisign) αλλά για τα φτωχά μας budget μπορεί να είναι και ένας εσωτερικός CA Server, του οποίου τα πιστοποιητικά θα είναι trusted από όλους τους χρήστες και τους servers του Active Directory Domain μας.

Για να εκδώσουμε λοιπόν ένα SAN Certificate από τον τοπικό μας CA Server, ακολουθούμε την παρακάτω διαδικασία (το Certificate Request του IIS6 δεν μπορεί να παράξει τέτοιο πιστοποιητικό) :

Από Exchange Management Shell εκτελούμε την παρακάτω εντολή :

New-ExchangeCertificate –GenerateRequest:$true –Path c:\path\sancert.req –SubjectName “c=GR, s=Attika, l=Athens, o=MyCompany, cn=mail.mydomain.gr” -DomainName mail.mydomain.gr,mail.mydomain.local,mail –PrivateKeyExportable:$true –FriendlyName “Exchange Trusted SAN Certifiacte” –IncludeAcceptedDomains:$false –Force:$true<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Η παραπάνω εντολή παράγει το αρχείο c:\path\sancert.req το οποίο ανοίγουμε με notepad.

Στη συνέχεια μεταβαίνουμε στη σελίδα αίτησης πιστοποιητικών του CA Server μας http://caserver/certsrv και επιλέγουμε Request a Certificate à Advanced Certificate Request à Submit a certificate request by using ….

Στο παράθυρο Saved Request κάνουμε paste τα περιεχόμενα του notepad που είχαμε ανοίξει νωρίτερα και στο Certificate Template επιλέγουμε Web Server και πατάμε Submit.

Στην επόμενη σελίδα μπορούμε πλέον να κάνουμε download το certificate και το αποθηκεύουμε στο c:\path\sancert.cer

Επιστρέφουμε στο Exchange Management Shell και πληκτρολογούμε την εντολή :

Import-ExchangeCertificate c:\path\sancert.cer

Το πιστοποιητικό έχει εγκατασταθεί με επιτυχία στο Server. Μένει άλλο ένα βήμα, από το IIS Management, ανοίγουμε το Security στα properties του default web site και πατάμε Server Certificate à Replace the current certificate à Επιλέγουμε το νέο πιστοποιητικό

Συγχαρητήρια! Ο exchange server μας είναι πλέον εφοδιασμένος με ένα ψηφιακό πιστοποιητικό το οποίο περιέχει όλα τα πιθανά ονόματα με τα οποία μπορεί κάποιος χρήστης να επικοινωνήσει μαζί του (μέσα ή έξω από το δίκτυο της εταιρείας μας) και το οποίο πλέον θεωρείται έμπιστο από όλους τους υπολογιστές, τους χρήστες και τα services που τρέχουν μέσα στο Active Directory Domain μας.

 Share

5 Comments


Recommended Comments

Θα το κάνω άμεσα διότι είχα κάποια ψιλοπροβλήματα με το πιστοποιητικό για Windows Mobile. Με γλυτώνεις από πολλή φασαρία τώρα που έχω όλα τα βήματα.

Link to comment

Καλησπέρα

2 ερωτήσεις:

 

1. Σε SBS 2008 λειτουργεί ή θα προκύψουν θέματα;

 

2. Μπορεί ο CA server να είναι ο ίδιος ο SBS;

 

Ευχαριστώ!

Link to comment

Είμαι σίγουρος, ότι ο SBS2003 μέσω του Wizard όπου ορίζαμε το internal & external FQDN έφτιαχνε από μόνος του σωστά πιστοποιητικά. Για τον 2008 δεν το έχω κοιτάξει, αλλά έχω την εντύπωση πως στον SBS δεν είναι απαραίτητη η παραπάνω διαδικασία τουλάχιστον ως προς την υποστήριξη Subject Alternate Name (SAN).

Ο SBS φυσικά και μπορεί να είναι CA Server, αλλά τελικά θα είναι απαραίτητος μόνο αν εγκατασταθεί στο δίκτυο κάποια εφαρμογή που να απαιτεί CA (βλέπε OCS2007R2 καλή του ώρα...)

Αν κάποιος συνάδελφος έχει ασχοληθεί παραπάνω, μπορεί να συμπληρώσει :)

Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...