v_pasch Posted January 12, 2009 Report Share Posted January 12, 2009 Έχω μια virtual υποδομή σε Windows Server 2003 + Exchange Server 2003 και θέλω να μπορώ να χρησιμοποιώ το OWA. Για SSL χρησιμοποίησα το SelfSSL από το IIS Resource kit. Τώρα όμως θέλω να το κάνω publish μέσω του ISA Server 2006. Στον Web Listener που δημιουργώ μου ζητάει Certificate, έτσι κάνω export από τον Exchange το Certificate και το κάνω import στον ISA Server 2006 (το δέχεται ο Web Listener). Όλα φαίνονται να πηγαίνουν καλά, αλλά όταν από το pc μου γράφω https://192.168.0.10/exchange δεχομαι το Certificate και με βγάζει στο OWA logon Screen του Exchange Server 2007 και αφού κάνω login μου βγαίνει The page cannot be displayed. Error 500 Έχω δώσει και access rule στο port 443 from external to internal Link to comment Share on other sites More sharing options...
enzo288 Posted January 12, 2009 Report Share Posted January 12, 2009 Καλησπέρα σε όλους, Αν αυτά που έχεις γράψει ισχύουν και δεν εχεις κάνει λάθος τους αριθμούς (π.χ. 2003, 2007), τοτε το πρόβλημα θα λυθεί αν στον MS ISA 2006 δημιουργήσεις ένα νέο κανόνα και επιλέξεις στο πεδίο "Exchnage Version" την version Exchange 2003 (Στον wizard στο επόμενο βήμα μετά το όνομα του κανόνα). To λάθος δημιουργείται γιατί το path για το OWA site στον Exchange 2003 είναι Http://mailserver/exchange , ενώ για τον Exchange 2007 http://mailserver/owa . Ευχαριστώ, Link to comment Share on other sites More sharing options...
v_pasch Posted January 12, 2009 Author Report Share Posted January 12, 2009 Όταν δημιούργησα τον νέο κανόνα και επέλεξα στο πεδίο "Exchange Version" την version Exchange 2003 (Στον wizard στο επόμενο βήμα μετά το όνομα του κανόνα). Ακόμα να πω ότι η επικοινωνία του ISA με Exchange είναι μέσω SSL, το ίδιο κ η επικοινωνία του client με ISA Ακολούθησα τις οδηγίες από το isaserver.org Απλά για εσωτερικό site έβαλα το Https://the-dc2/exchange και για public name εχω δώσει την εξωτερική ip του ISA 192.168.0.10 Στο SSΟ έβαλα .contoso.local Link to comment Share on other sites More sharing options...
enzo288 Posted January 12, 2009 Report Share Posted January 12, 2009 1o Σαν internal site name έχεις γράψει Https://the-dc2/exchange , αν ναι τοτε αφαίρεσετα όλα και άσε μόνο the-dc2.todomainsou 2o Αν στον κανόνα που έχεις δημιουργήσει κάνεις δεξί κλικ "properties" στο Path μπορείς να γράψεις τι βλέπεις. Ευχαριστώ, Link to comment Share on other sites More sharing options...
v_pasch Posted January 12, 2009 Author Report Share Posted January 12, 2009 Έκανα test rule για να δω αν δουλεύει Και μου έβγαλε Testing URL https://192.168.0.10:443/Exchange/ Category: Published server certificate error Error details: 0x80090325 - The certificate chain was issued by an authority that is not trusted. Action: Go to http://go.microsoft.com/fwlink/?LinkId=115965 Δε θέλω να στήσω CA Link to comment Share on other sites More sharing options...
enzo288 Posted January 13, 2009 Report Share Posted January 13, 2009 Είσαι σίγουρος ότι δεν έχεις CA εγκατεστημένο. Αν πας στον DC και στον Internet Explorer γράψεις http://localhost/certsrv δεν θα σου φέρει κανένα site? Link to comment Share on other sites More sharing options...
v_pasch Posted January 13, 2009 Author Report Share Posted January 13, 2009 Φυσικά και είμαι σίγουρος ότι δεν έχω CA εγκατεστημένο, αφού εγώ την έστησα την υποδομή, Το Certificate του OWA το πήρα αφού χρησιμοποίησα το SelfSSL από το IIS Resource kit που δε χρειάζεται CA Link to comment Share on other sites More sharing options...
enzo288 Posted January 13, 2009 Report Share Posted January 13, 2009 ok Κάνε export το certificate και θα το κάνεις import στο "Trusted Root Certification Authorities" και στον MS ISA 2006 και στον Exchange 2003 και θα είσαι εντάξει. Ευχαριστώ, Link to comment Share on other sites More sharing options...
Vangelis Posted January 13, 2009 Report Share Posted January 13, 2009 Καλησπέρα και απο μένα, Να ρωτήσω κάτι και γώ, Το όνομα του Certificate που έχεις δώσει στον listener, έχει το Εξωτερικό σου "FQDN" δλδ "mail.contoso.com" είτε έστω σάν (SAN) Subject Alternate Name? Θα σου χρειαστεί και αυτό. Λογικά έχει δίκιο ο enzo888, αλλά πρόσεχε το Certificate Name επίσης. Και κάτι άλλο, γιατί δεν εγκαθιστάς CA Authority? Που το περίεργο, και κεντρική διαχείρηση των Certificates σου θα έχεις και "αξιόπιστη" Αρχή Πιστοποίησης, και θα σου χρειαστούν σίγουρα και άλλα στο μέλλον, οπότε , δεν το κάνεις το καλό... V Link to comment Share on other sites More sharing options...
akis Posted January 14, 2009 Report Share Posted January 14, 2009 Συνήθως τα προβλήματα με error 500 υποδηλώνουν λάθος στο certificate κατα την σύνδεση του isa(internal adaptor) με τον published web server. Για το πρόβλημα που αντιμετωπίζεις Θα πρέπει το όνομα του certificate δηλαδή το CN(common name) να είναι το ίδιο με το full computer name του exhange server. Αν τρέξεις το selfssl το default CN που δίνει στο certificate είναι μόνο το computer name. Θα πρέπει να το δηλώσεις εσύ με την παράμετρο /Ν:CN= Δεν ξέρω αν το έχεις κάνει ήδη αλλά εγώ αυτό θα κοιτούσα πρώτα και μετά θα συνέχιζα τον οδηγό. Απλά να πώ οτι η ιδιότητα subject alternative name δεν υποστηρίζεται απο το selfssl παρα μόνο απο ca. Link to comment Share on other sites More sharing options...
v_pasch Posted January 14, 2009 Author Report Share Posted January 14, 2009 Θα το κοιτάξω τώρα και θα σου πω. Άκη σου έχω αφησει προσωπικό μήνυμα δε ξέρω αν το διάβασες. Link to comment Share on other sites More sharing options...
v_pasch Posted January 14, 2009 Author Report Share Posted January 14, 2009 Για κάποιο λόγο ο ISA δε μου δέχεται τα certificates. Κάνω import το certificate από τον Exchange και ο ISA το δείχνει με κόκκινο χρώμα όταν πάω να το επιλέξω στον Web Listener Ακόμα και αν τα διαγράψω από εκεί δε φεύγουν. Πως μπορω να τα καθαρίσω για να ξανακάνω τη διαδικασία Link to comment Share on other sites More sharing options...
enzo288 Posted January 14, 2009 Report Share Posted January 14, 2009 Καλησπέρα, αν ανοίξεις απο mmc το span in certificates και επιλέξεις το computer account θα τα βρείς κάτω απο τον φάκελο "Personal", αλλά θα πρέπει να τα διαγράψεις και από το "Trusted Root Certification Authorities" που είπαμε να τα βάλεις σε προηγούμενο post. Ευχαριστώ, Link to comment Share on other sites More sharing options...
v_pasch Posted January 15, 2009 Author Report Share Posted January 15, 2009 Το έχω κάνει ήδη αλλά ο ISA τα βλέπει ακόμα. Link to comment Share on other sites More sharing options...
klag Posted January 15, 2009 Report Share Posted January 15, 2009 Να πω και εγώ την γνώμη μου μιας και μέχρι να καταλάβω την σωστή σειρά, "για εμένα" με τα Certificates όλο λάθη έκανα.Ας τα πάρουμε λιγο τα πράγματα από την αρχή.Συμφωνώ καταρχάς με το Βαγγέλη ότι πρέπει να στείσεις Certificate Authority στον Domain Controller σου.O καλύτερος "για εμένα" τρόπος που στείνω το certificate authority είναιAdd Remove Programms > Add Remove Windows Components > Certificate Service Από τις επιλογές που δείνει Διαλέγω STAND ALONE ROOT CA (Τρίτη επιλογή αν θυμάμαι καλά)Πάμε λοιπόν έστω ότι έχω τον DC1 με την Certificate AuthorityΤον Exch με τον Exchange server μου και τον ISA με τον ISA Server μου. Ας πούμε ότι το domain μου είναι το domain.local και το Real Domain μου το company.grΚαταρχήν ξεκαθαρίζω ότι θέλω SSL μέσα και έξω, και κατά δεύτερον πηγαίνω στον Exchange και του ΑΠΟΕΠΙΛΕΓΩ να χρησιμοποιεί FROMS BASED AUthantication και το γυρνάω σε Basic (αν θυμάμαι καλά)Πρώτα πάω στον exchange. Ανοίγω έναν ΙΕ και συνδέομαι στη σελίδα http://DC1/certsrvΑνοίγει η σελίδα του Certificate authority. Ζητώ από την αρχή πιστοποίησης να εκδόσει ένα πιστοποιητικό REQUEST A CERTIFICATE > Advanced Certificate Request > Create and Submit a certificate to this CA δίνω το όνομα που είναι ΒΑΣΙΚΟ. ΖΗΤΩ λοιπόν ένα Certificate με το όνομα exch.domain.local (Server Authantication Certificate KAI Mark Key As Exportable)Στη συνέχεια πηγαίνω στο domain Controller μου , πηγαίνω στην αρχή πιστοποίησης και μέσα στα Pending Certificates υπάρχει το πραπάνω certificate. Κάνω δεξί κλικ και Issue.Επιστρέφω πάλι πίσω στον Exchange. Ανοίγω πάλι έναν Internet Explorer και πηγαίνω πάλι στη σελίδα http://DC1/certsrv αλλά αυτή τη φορά επιλέγω να δω την κατάσταση από Pending Certificate. Βλέπω ότι έχει εκδοθεί. Κάνω κλικ Πάνω του και επιλέγω να εγκατασταθεί. Πλέον ο Exch έχει εγκατεστημένο το Certificate αυτό. Στη συνέχεια πηγαίνω στον IIS και επιλέγω να χρησιμοποιεί αυτό το Certificate.Στη συνέχεια ανοίγω μία mmc κονσόλα στην οποία προσθέτω να βλέπω τα Certificates (COMPUTER Account This Computer)Βρίσκω το Certificate αυτό μέσα στα personal Certificates. Επιλέγω αυτό το Certificate και του λέω να το κάνει Export μαζί με το Private Key (Including Private Key) σε κάποιο κοινόχρηστο φάκελο. Στη συνέχεια πηγαίνω στον ISA.Ανοίγω μία MMC Κονσόλα και προσθέτω να βλέπω τα Certificates Computer Account. Πηγαίνω στα Personal και κάνω Import το Certificate που είχα βάλει στον δικτυακό φάκελο.Στη συνέχεια ανοίγω IE και συνδέομαι στη σελίδα http://DC1/certsrv και ζητώ και πάλι ένα Certificate κατά τον ίδιο τρόπο όπως παραπάνω αλλά με όνομα webmail.domain.gr.Πηγαίνω στον DC το κάνω Issue, πιστρέφω πίσω και το εγκαθιστώ.Έπειτα φτιάχνω τον κανόνα στον ISA κα ιβάζω στον Web Listener να ακούει με το πιστοποιητικό webmail.domain.gr όπου το webmail είναι μία εγγραφή στον Reala DNS Server του company.gr που δείχνει την Static IP μου.ΔΕΝ ΞΕΧΝΩ ΝΑ ξετσεκάρω το WEB Form BASED Στον Exchange. Αφήνουμε Web Form Based ΜΟΝΟ ΣΤΟΝ ISA.Εαν θέλω τα PCs να μην βγάζουν το Error για το Certificate προσθέτω το Certificate webmail.company.gr στο Trusted Root Certificate. Με αυτόν τον τρόπο όλα τα PCs του Domain παίρνουν το πιστοποιητικό. έτσι δεν τους βγάζει error στο OWA αλλά δουλεύει και το RPC Over HTTP στο Outlook. Ελπίζω να βοήθησα και να μην σε μπέρδψα περισσότερο. [] Αν θες ακολούθησε αυτή τη διαδικασία χωρίς να διαγράψεις τίπτοα από αυτά που έχεις κάνει και λογικά θα δεις ότι όλα θα σου πάνε μέλι γάλα. Link to comment Share on other sites More sharing options...
v_pasch Posted January 15, 2009 Author Report Share Posted January 15, 2009 Προσωπικά δε θέλω να στήσω CA. Με το selfssl για το owa έχω κάνει το certificate. Από κεί και πέρα έχω δυσκολίες Link to comment Share on other sites More sharing options...
klag Posted January 15, 2009 Report Share Posted January 15, 2009 Μια χαρά λοιπόν. Μπορείς να καταλάβεις την λογική από το προηγούμενο Post μου? Αν ναι κάντο με Selfssl. ΘΑ χρειαστείς ΔΥΟ ΠΙΣΤΟΠΟΙΗΤΙΚΑ. ένα για μέσα και ένα για έξω. Link to comment Share on other sites More sharing options...
enzo288 Posted January 16, 2009 Report Share Posted January 16, 2009 Καλησπέρα, νομίζω οτι ο klag στα λέει σωστά εκτός απο ένα πράγμα, χρειάζεσαι μόνο ενα πιστοποιητικό με common name το Real name του Web Site (π.χ. webmail.company.gr), περίπτωση σου θα είναι owa.domain.local. Klag αν χρησιμοποιησεις 2 διαφορετικα πιστοποιητικά πιστεύω οτι θα πάρεις καποιο error τυπου error 5xx. Link to comment Share on other sites More sharing options...
klag Posted January 16, 2009 Report Share Posted January 16, 2009 Εαν έχεις SSL μέσα και SSL έξω χρειάζεσαι δύο πιστοποιητικά. Ένα για να επικοινωνεί ο ISAμε τον Exchange με SSL και ένα για να έχει ο Web Listener του ISA. Εαν έχεις SSL μόνο από έξω τότε χρείαζεσαι ένα πιστοποιητικό στον web Listener του ISA, και να βγάλεις την απαίτηση για SSL από τον Exhcnage. Link to comment Share on other sites More sharing options...
enzo288 Posted January 16, 2009 Report Share Posted January 16, 2009 Klag σωστά, αλλά μπορεις να χρησιμοποιησεις το ιδιο certificate(του Listener). Έτσι γλιτώνεις από πιθανά λάθη λόγω κάποιου expiration σε certificate που εχεις ξεχάσει να ανανεώσεις και άλλα τέτοια, που δεν πάει το μυαλο σου όταν "σκάσει" το πρόβλημα, και διευκρινίζω οτι αυτό είναι αποψή μου. Ευχαριστώ, Link to comment Share on other sites More sharing options...
v_pasch Posted January 17, 2009 Author Report Share Posted January 17, 2009 Τελικά χρησιμοποίησα 1 certificate και μετά από πολλά πειράματα έπαιξε. Το παράξενο είναι ότι ενώ είναι Exchange 2003 με το Publish του ISA 2006 το interface στο logon είναι ίδιο με του 2007 Ευχαριστώ πολύ όλους σας Link to comment Share on other sites More sharing options...
Recommended Posts