Mặc định, sau khi cài đặt các dịch vủa OWA (80)/SMTP (25)/POP3 (110)/IMAP (143).. không mã hóa dữ liệu trong quá trình giao tiếp với client, việc này dẫn đến rủi ro về lộ thông tin & chỉnh sửa dữ liệu trái phép trong quá trình gửi nhận email. Cấu hình và public dịch vụ mail sử dụng giao thức mã hóa SSL/TLS nhằm ngăn ngừa rủi ro trên.
Công cụ trong bài:
- Exchange Server 2003 (2 card mạng)
- Domain Controller với dịch vụ Certificate Services được cài đặt (giả sử địa chỉ web của CA là: http://192.168.2.3/certsrv)
- ISA 2006
Hệ thống đã cài đặt xong tất cả các server trên, Exchange cấp phát tài khoản và gửi nhận mail ra ngoài internet thông qua ISA bình thường.
Các bước tính hành secure dịch vụ mail:
- Secure dịch vụ OWA: Xin CA, đổi port mặc định (tùy chọn)
- Tạo thêm 1 SMTP Virtual Server dùng chứng thực với client (ví dụ tên SMTP-SSL)
- Xin CA cho các dịch vụ của Exchange: POP3, IMAP, SMTP-SSL
- Cấu hình các dịch vụ trên sử dụng SSL với CA đã được cấp
(1) Secure dịch vụ OWA: Xin CA, đổi port mặc định, public trên ISA
Giả sử hệ thống bạn đã publish 1 website khác cũng sử dụng mã hóa SSL, thì port 443 (https) đã sử dụng nên secure OWA (Outlook Web Access) bạn cần đổi chạy trên 1 port khác (lưu ý: nếu bạn dùng ISA làm Firewall, ISA chỉ cho phép 1 website https chạy trên port 443, không như port 80 có thể chạy nhiều website), trường hợp hệ thống bạn chỉ public duy nhất dịch vụ OWA mã hóa SSL thì bạn không cần đổi port (sử dụng port https mặc định – 443).
Tiến hành: Tại Exchange Server,
Tạo Certificate request:
Click vào Server Certificate…
Nơi & tên file certificate request:
Gửi Certificate request cho CA và tải CA được cấp cài vào OWA (cũng làm tại Exchange):
Truy cập trang cấp Certificate của CA Server:
Mở file certreq.txt đã lưu trong ổ C tại bước trên với Notepad, copy toàn bộ nội dung:
paste vào mục request trên website xin Certificate:
Tải file certificate về (*.cer), giả sử lưu tại Desktop.
Trờ lại IIS của Default Web Site (OWA),
Trỏ đến file cer vừa được cấp,
Chỉnh port (nếu cần):
Truy cập: https://mail.abc.com:3234
Public trên ISA: Trường hợp đã dùng port mặc định của HTTPS cho 1 website khác, bạn tạo 1 listener mới trên ISA với port tương ứng của OWA, ví dụ là 3234.
Export pfx key của OWA để import vào ISA: Click Server Certificate trên IIS của OWA,
Trên ISA:
Import pfx file: RUN >> MMC >> Add/remote Snap-in… >> Certificates
Click chuột phải vào mục Personal, chọn Import…
Trỏ đến file pfx đã export từ OWA bước trước
Nhập pass:
(Xem thêm tại: http://www.isaserver.org/articles-tutorials/articles/exportsslcert.html)
Tạo web listener cho OWA tại cổng 3234:
Sau cùng tạo 1 web publishing rule cho OWA sử dụng chứng thực HTTPS với listener vừa tạo: