Mặc định, sau khi cài đặt các dịch vủa OWA (80)/SMTP (25)/POP3 (110)/IMAP (143).. không mã hóa dữ liệu trong quá trình giao tiếp với client, việc này dẫn đến rủi ro về lộ thông tin & chỉnh sửa dữ liệu trái phép trong quá trình gửi nhận email. Cấu hình và public dịch vụ mail sử dụng giao thức mã hóa SSL/TLS nhằm ngăn ngừa rủi ro trên.

Công cụ trong bài:

  • Exchange Server 2003 (2 card mạng)
  • Domain Controller với dịch vụ Certificate Services được cài đặt (giả sử địa chỉ  web của CA là: http://192.168.2.3/certsrv)
  • ISA 2006

Hệ thống đã cài đặt xong tất cả các server trên, Exchange cấp phát tài khoản và gửi nhận mail ra ngoài internet thông qua ISA bình thường.

Các bước tính hành secure dịch vụ mail:

  • Secure dịch vụ OWA: Xin CA, đổi port mặc định (tùy chọn)
  • Tạo thêm 1 SMTP Virtual Server dùng chứng thực với client (ví dụ tên SMTP-SSL)
  • Xin CA cho các dịch vụ của Exchange: POP3, IMAP, SMTP-SSL
  • Cấu hình các dịch vụ trên sử dụng SSL với CA đã được cấp
(1) Secure dịch vụ OWA: Xin CA, đổi port mặc định, public trên ISA

Giả sử hệ thống bạn đã publish 1 website khác cũng sử dụng mã hóa SSL, thì port 443 (https) đã sử dụng nên secure OWA (Outlook Web Access) bạn cần đổi chạy trên 1 port khác (lưu ý: nếu bạn dùng ISA làm Firewall, ISA chỉ cho phép 1 website https chạy trên port 443, không như port 80 có thể chạy nhiều website), trường hợp hệ thống bạn chỉ public duy nhất dịch vụ OWA mã hóa SSL thì bạn không cần đổi port (sử dụng port https mặc định – 443).

Tiến hành: Tại Exchange Server,

Tạo Certificate request:

23-07-2013 1-26-28 PM_2

Click vào Server Certificate…

23-07-2013 1-26-54 PM

23-07-2013 1-27-22 PM

23-07-2013 1-27-44 PM_223-07-2013 1-32-11 PM_223-07-2013 1-32-28 PM_223-07-2013 1-33-00 PM

Nơi & tên file certificate request:

23-07-2013 1-33-25 PM23-07-2013 1-33-33 PM_223-07-2013 1-37-58 PM

Gửi Certificate request cho CA và tải CA được cấp cài vào OWA (cũng làm tại Exchange):

Truy cập trang cấp Certificate của CA Server:

23-07-2013 1-40-13 PM_223-07-2013 1-41-47 PM_223-07-2013 1-42-29 PM_2

Mở file certreq.txt đã lưu trong ổ C tại bước trên với Notepad, copy toàn bộ nội dung:

23-07-2013 1-43-19 PM_2

paste vào mục request trên website xin Certificate:

23-07-2013 1-43-43 PM_2

Tải file certificate về (*.cer), giả sử lưu tại Desktop.

23-07-2013 1-49-43 PM_2

Trờ lại IIS của Default Web Site (OWA),

23-07-2013 1-51-09 PM

Trỏ đến file cer vừa được cấp,

23-07-2013 1-51-40 PM_223-07-2013 1-52-01 PM_2

Chỉnh port (nếu cần):

23-07-2013 1-55-14 PM_223-07-2013 1-56-09 PM_2

Truy cập: https://mail.abc.com:3234

23-07-2013 2-22-31 PM_3

Public trên ISA: Trường hợp đã dùng port mặc định của HTTPS cho 1 website khác, bạn tạo 1 listener mới trên ISA với port tương ứng của OWA, ví dụ là 3234.

Export pfx key của OWA để import vào ISA: Click Server Certificate trên IIS của OWA,

24-07-2013 2-32-13 PM24-07-2013 2-32-31 PM 24-07-2013 2-32-47 PM 24-07-2013 2-32-55 PM 24-07-2013 2-33-06 PM

Trên ISA:

Import pfx file: RUN >> MMC >> Add/remote Snap-in… >> Certificates

23-07-2013_4-02-29_PM 23-07-2013_4-03-47_PM 23-07-2013_4-05-28_PM 23-07-2013_4-07-51_PM

export101109171378920

Click chuột phải vào mục Personal, chọn Import…

export111109171378936

Trỏ đến file pfx đã export từ OWA bước trước

export121109171378951

Nhập pass:

export131109171378951 export141109171378967

(Xem thêm tại: http://www.isaserver.org/articles-tutorials/articles/exportsslcert.html)

Tạo web listener cho OWA tại cổng 3234:

24-07-2013 2-44-25 PM 24-07-2013 2-44-40 PM 24-07-2013 2-44-59 PM 24-07-2013 2-45-27 PM 24-07-2013 2-45-47 PM 24-07-2013 2-46-03 PM

Sau cùng tạo 1 web publishing rule cho OWA sử dụng chứng thực HTTPS với listener vừa tạo:

24-07-2013 3-03-32 PM 24-07-2013 3-03-48 PM 24-07-2013 3-03-57 PM 24-07-2013 3-04-08 PM 24-07-2013 3-04-16 PM 24-07-2013 3-04-34 PM 24-07-2013 3-04-45 PM 24-07-2013 3-05-00 PM 24-07-2013 3-05-18 PM 24-07-2013 3-05-35 PM 24-07-2013 3-05-44 PM 24-07-2013 3-05-53 PM

Related articles