Jump to content

OWA Certificate & ISA Server 2006


v_pasch
 Share

Recommended Posts

Έχω μια virtual υποδομή σε Windows Server 2003 + Exchange Server 2003 και θέλω να μπορώ να χρησιμοποιώ το OWA. Για SSL χρησιμοποίησα το SelfSSL από το IIS Resource kit. Τώρα όμως θέλω να το κάνω publish μέσω του ISA Server 2006. Στον Web Listener που δημιουργώ μου ζητάει Certificate, έτσι κάνω export από τον Exchange το Certificate και το κάνω import στον ISA Server 2006 (το δέχεται ο Web Listener). Όλα φαίνονται να πηγαίνουν καλά, αλλά όταν από το pc μου γράφω https://192.168.0.10/exchange δεχομαι το Certificate και με βγάζει στο OWA logon Screen του Exchange Server 2007 και αφού κάνω login μου βγαίνει The page cannot be displayed. Error 500

 

Έχω δώσει και access rule στο port 443 from external to internal

 

 

 

Link to comment
Share on other sites

Καλησπέρα σε όλους,

Αν αυτά που έχεις γράψει ισχύουν και δεν εχεις κάνει λάθος τους αριθμούς (π.χ. 2003, 2007), τοτε το πρόβλημα θα λυθεί αν στον MS ISA 2006 δημιουργήσεις ένα νέο κανόνα και επιλέξεις στο πεδίο "Exchnage Version" την version Exchange 2003 (Στον wizard στο επόμενο βήμα μετά το όνομα του κανόνα). To λάθος δημιουργείται γιατί το path για το OWA site στον Exchange 2003 είναι Http://mailserver/exchange , ενώ για τον Exchange 2007 http://mailserver/owa .

 

Ευχαριστώ,

Link to comment
Share on other sites

Όταν δημιούργησα τον νέο κανόνα και επέλεξα στο πεδίο "Exchange Version"

την version Exchange 2003 (Στον wizard στο επόμενο βήμα μετά το όνομα

του κανόνα).

Ακόμα να πω ότι η επικοινωνία του ISA με Exchange είναι μέσω SSL, το ίδιο κ η επικοινωνία του client με ISA

 

Ακολούθησα τις οδηγίες από το isaserver.org

Απλά για εσωτερικό site έβαλα το Https://the-dc2/exchange και για  public name εχω δώσει την εξωτερική ip του ISA 192.168.0.10

Στο SSΟ έβαλα .contoso.local

 

Link to comment
Share on other sites

1o Σαν internal site name έχεις γράψει  Https://the-dc2/exchange , αν ναι τοτε αφαίρεσετα όλα και άσε μόνο the-dc2.todomainsou

2o Αν στον κανόνα που έχεις δημιουργήσει κάνεις δεξί κλικ "properties" στο Path μπορείς να γράψεις τι βλέπεις.

 

Ευχαριστώ,

Link to comment
Share on other sites

Έκανα test rule για να δω αν δουλεύει Και μου έβγαλε

 

Testing URL https://192.168.0.10:443/Exchange/

Category: Published server certificate error

Error details: 0x80090325 - The certificate chain was issued by an authority that is not trusted.

Action: Go to http://go.microsoft.com/fwlink/?LinkId=115965

 

Δε θέλω να στήσω CA

 

Link to comment
Share on other sites

Φυσικά και είμαι σίγουρος ότι δεν έχω CA εγκατεστημένο, αφού εγώ την έστησα την υποδομή, Το Certificate του OWA το πήρα αφού χρησιμοποίησα το SelfSSL από το IIS Resource kit που δε χρειάζεται CA

 

Link to comment
Share on other sites

Καλησπέρα και απο μένα,

Να ρωτήσω κάτι και γώ,

Το όνομα του Certificate που έχεις δώσει στον listener, έχει το Εξωτερικό σου  "FQDN"  δλδ  "mail.contoso.com" είτε έστω σάν  (SAN) Subject Alternate Name?

Θα σου χρειαστεί και αυτό. Λογικά έχει δίκιο ο enzo888, αλλά πρόσεχε το Certificate Name επίσης. Και κάτι άλλο, γιατί δεν εγκαθιστάς CA Authority? 

Που το περίεργο, και κεντρική διαχείρηση των Certificates σου θα έχεις και "αξιόπιστη" Αρχή Πιστοποίησης, και θα σου χρειαστούν σίγουρα και άλλα στο μέλλον, οπότε , δεν το κάνεις το καλό...

V

Link to comment
Share on other sites

Συνήθως τα προβλήματα με error 500 υποδηλώνουν λάθος στο certificate κατα την σύνδεση του isa(internal adaptor) με τον published web server.

Για το πρόβλημα που αντιμετωπίζεις

Θα πρέπει το όνομα του certificate δηλαδή το CN(common name) να είναι το ίδιο με το full computer name του exhange server.

Αν τρέξεις το selfssl το default CN που δίνει στο certificate είναι μόνο το computer name.

Θα πρέπει να το δηλώσεις εσύ με την παράμετρο /Ν:CN=

Δεν ξέρω αν το έχεις κάνει ήδη αλλά εγώ αυτό θα κοιτούσα πρώτα και μετά θα συνέχιζα τον οδηγό.  

Απλά να πώ οτι η ιδιότητα subject alternative name δεν υποστηρίζεται απο το selfssl παρα μόνο απο ca.

 

 

 

 

 

 

Link to comment
Share on other sites

Για κάποιο λόγο ο ISA δε μου δέχεται τα certificates.

Κάνω import το certificate από τον Exchange και ο ISA το δείχνει με κόκκινο χρώμα όταν πάω να το επιλέξω στον Web Listener

Ακόμα και αν τα διαγράψω από εκεί δε φεύγουν.

Πως μπορω να τα καθαρίσω για να ξανακάνω τη διαδικασία

 

 

Link to comment
Share on other sites

Καλησπέρα,

αν ανοίξεις απο mmc το span in certificates και επιλέξεις το computer account  θα τα βρείς κάτω απο τον φάκελο "Personal", αλλά θα πρέπει να τα διαγράψεις και από το "Trusted Root Certification Authorities" που είπαμε να τα βάλεις σε προηγούμενο post.

 

Ευχαριστώ,

Link to comment
Share on other sites

Να πω και εγώ την γνώμη μου μιας και μέχρι να καταλάβω την σωστή σειρά, "για εμένα" με τα Certificates όλο λάθη έκανα.
Ας τα πάρουμε λιγο τα πράγματα από την αρχή.
Συμφωνώ καταρχάς με το Βαγγέλη ότι πρέπει να στείσεις Certificate Authority στον Domain Controller σου.
O καλύτερος "για εμένα" τρόπος που στείνω το certificate authority είναι
Add Remove Programms > Add Remove Windows Components > Certificate Service 
Από τις επιλογές που δείνει Διαλέγω STAND ALONE ROOT CA (Τρίτη επιλογή αν θυμάμαι καλά)
Πάμε λοιπόν έστω ότι έχω τον DC1 με την Certificate Authority
Τον Exch με τον Exchange server μου και τον ISA με τον ISA Server μου. Ας πούμε ότι το domain μου είναι το domain.local και το Real Domain μου το company.gr
Καταρχήν ξεκαθαρίζω ότι θέλω SSL μέσα και έξω, και κατά δεύτερον πηγαίνω στον Exchange και του ΑΠΟΕΠΙΛΕΓΩ να χρησιμοποιεί FROMS BASED AUthantication και το γυρνάω σε Basic (αν θυμάμαι καλά)

Πρώτα πάω στον exchange. Ανοίγω έναν ΙΕ και συνδέομαι στη σελίδα http://DC1/certsrv
Ανοίγει η σελίδα του Certificate authority. Ζητώ από την αρχή πιστοποίησης να εκδόσει ένα πιστοποιητικό REQUEST A CERTIFICATE > Advanced Certificate Request > Create and Submit a certificate to this CA 
δίνω το όνομα που είναι ΒΑΣΙΚΟ. ΖΗΤΩ λοιπόν ένα Certificate με το όνομα exch.domain.local (Server Authantication Certificate KAI Mark Key As Exportable)
Στη συνέχεια πηγαίνω στο domain Controller μου , πηγαίνω στην αρχή πιστοποίησης και μέσα στα Pending Certificates υπάρχει το πραπάνω certificate. Κάνω δεξί κλικ και Issue.
Επιστρέφω πάλι πίσω στον Exchange. Ανοίγω πάλι έναν Internet Explorer και πηγαίνω πάλι στη σελίδα http://DC1/certsrv αλλά αυτή τη φορά επιλέγω να δω την κατάσταση από Pending Certificate. Βλέπω ότι έχει εκδοθεί. Κάνω κλικ Πάνω του και επιλέγω να εγκατασταθεί. Πλέον ο Exch έχει εγκατεστημένο το Certificate αυτό. Στη συνέχεια πηγαίνω στον IIS και επιλέγω να χρησιμοποιεί αυτό το Certificate.
Στη συνέχεια ανοίγω μία mmc κονσόλα στην οποία προσθέτω να βλέπω τα Certificates (COMPUTER Account This Computer)
Βρίσκω το Certificate αυτό μέσα στα personal Certificates. Επιλέγω αυτό το Certificate και του λέω να το κάνει Export μαζί με το Private Key (Including Private Key) σε κάποιο κοινόχρηστο φάκελο.

Στη συνέχεια πηγαίνω στον ISA.
Ανοίγω μία MMC Κονσόλα και προσθέτω να βλέπω τα Certificates Computer Account. Πηγαίνω στα Personal και κάνω Import το Certificate που είχα βάλει στον δικτυακό φάκελο.
Στη συνέχεια ανοίγω IE και συνδέομαι στη σελίδα http://DC1/certsrv και ζητώ και πάλι ένα Certificate κατά τον ίδιο τρόπο όπως παραπάνω αλλά με όνομα webmail.domain.gr.
Πηγαίνω στον DC το κάνω Issue, πιστρέφω πίσω και το εγκαθιστώ.
Έπειτα φτιάχνω τον κανόνα στον ISA κα ιβάζω στον Web Listener να ακούει με το πιστοποιητικό webmail.domain.gr όπου το webmail είναι μία εγγραφή στον Reala DNS Server του company.gr που δείχνει την Static IP μου.
ΔΕΝ ΞΕΧΝΩ ΝΑ ξετσεκάρω το WEB Form BASED Στον Exchange. Αφήνουμε Web Form Based ΜΟΝΟ ΣΤΟΝ ISA.

Εαν θέλω τα PCs να μην βγάζουν το Error για το Certificate προσθέτω το Certificate webmail.company.gr στο Trusted Root Certificate. Με αυτόν τον τρόπο όλα τα PCs του Domain παίρνουν το πιστοποιητικό. έτσι δεν τους βγάζει error στο OWA αλλά δουλεύει και το RPC Over HTTP στο Outlook.

Ελπίζω να βοήθησα και να μην σε μπέρδψα περισσότερο. [:)] Αν θες ακολούθησε αυτή τη διαδικασία χωρίς να διαγράψεις τίπτοα από αυτά που έχεις κάνει και λογικά θα δεις ότι όλα θα σου πάνε μέλι γάλα.

Link to comment
Share on other sites

Μια χαρά λοιπόν. Μπορείς να καταλάβεις την λογική από το προηγούμενο Post μου? Αν ναι κάντο με Selfssl. ΘΑ χρειαστείς ΔΥΟ ΠΙΣΤΟΠΟΙΗΤΙΚΑ. ένα για μέσα και ένα για έξω.

Link to comment
Share on other sites

Καλησπέρα,

νομίζω οτι ο klag στα λέει σωστά εκτός απο ένα πράγμα, χρειάζεσαι μόνο ενα πιστοποιητικό με common name  το Real name του Web Site (π.χ. webmail.company.gr), περίπτωση σου θα είναι owa.domain.local.

Klag αν χρησιμοποιησεις 2 διαφορετικα πιστοποιητικά πιστεύω οτι θα πάρεις καποιο error τυπου error 5xx.

Link to comment
Share on other sites

Εαν έχεις SSL μέσα και SSL έξω χρειάζεσαι δύο πιστοποιητικά. Ένα για να επικοινωνεί ο ISAμε τον Exchange με SSL και ένα για να έχει ο Web Listener του ISA.

Εαν έχεις SSL μόνο από έξω τότε χρείαζεσαι ένα πιστοποιητικό στον web Listener του ISA, και να βγάλεις την απαίτηση για SSL από τον Exhcnage.

Link to comment
Share on other sites

Klag σωστά, αλλά μπορεις να χρησιμοποιησεις το ιδιο certificate(του Listener). Έτσι γλιτώνεις από πιθανά λάθη λόγω κάποιου expiration σε certificate που εχεις ξεχάσει να ανανεώσεις και άλλα τέτοια, που δεν πάει το μυαλο σου όταν "σκάσει" το πρόβλημα, και διευκρινίζω οτι αυτό είναι αποψή μου.

Ευχαριστώ, 

Link to comment
Share on other sites

Τελικά χρησιμοποίησα 1 certificate και μετά από πολλά πειράματα έπαιξε.

Το παράξενο είναι ότι ενώ είναι Exchange 2003 με το Publish του ISA 2006 το interface στο logon είναι ίδιο με του 2007

 

Ευχαριστώ πολύ όλους σας

 

Link to comment
Share on other sites

 Share

×
×
  • Create New...