Исторически выпуск сертификатов был в некоторой степени сложной процедурой, требующей установки служб сертификатов. Однако менее распространенная утилита из набора инструментов IIS6 Resource Kit Tools, известная под названием SelfSSL может значительно облегчить процесс.
Введение
В настоящее время считается хорошим тоном защищать Outlook Web Access (OWA) при помощи SSL. Это обеспечивает полное шифрование трафика от клиента к серверу и обратно. Это особенно важно, если виртуальная папка OWA или браузер использует простую аутентификацию вместо интегрированной.
Есть 2 пути получения необходимого для этого сертификата. Его можно купить у хорошо зарекомендовавшего себя издателя или выписать самостоятельно. Если у Вас есть сайт для клиентов, то на них произведет впечатление покупной сертификат от известного им издателя, которому они могут доверять. Но для сайта, который используется, например, только персоналом, хорошим вариантом будет сертификат, выпущенный самостоятельно.
Процедура
Прежде всего, загрузите IIS6 Resource Kit Tools с сайта компании Microsoft. После загрузки запустите его установку на сервере OWA. В окнах мастера установки нажимайте Next до окна с выбором типа установки. Здесь (рисунок 1) надо будет выбрать требуемый вариант установки. Если хотите установить весь набор инструментов, выбирайте полную установку. После выбора снова нажмите Next.
Если указана выборочная установка, отобразятся диалоги выбора пути установки (рисунок 2) и выбора компонентов установки.
Оставьте указанный по умолчанию путь, если не хотите устанавливать файлы в другое место.
Выберите инструменты, которые необходимо установить. Нам интересен только инструмент SelfSSL. Поэтому выбираем его и снова нажимаем Next. Программа установки скопирует необходимые файлы на сервер и завершит работу. Соответствующие ярлыки будут добавлены в меню Пуск системы (рисунок 4)
Нажмите на ярлыке SelfSSL. Отобразится окно информации об использовании SelfSSL (рисунок 5).
Теперь необходимо задать общее имя сертификата и срок его действия в днях. В качестве общего имени сертификата следует принять имя сервера, которое указывают пользователи для доступа к OWA. Если пользователи используют имя сервера, отличающееся от имени сертификата, они всегда будут получать предупреждение об отличии этих имен. Зададим имя сертификата owa.mydomain.com, а срок его действия — 365 дней. Воспользуемся ключом /T, чтобы сертификат был автоматически добавлен в список доверенных сертификатов браузера. В этом случае пользователь не получит предупреждения, при доступе к OWA с помощью браузера сервера. Хотя это и не защитит пользователей от предупреждения, когда они впервые будут открывать сайт в собственных браузерах.
Чтобы создать указанный сертификат, выполните команду:
SELFSSL /N:CN=owa.mydomain.com /T /V:365SelfSSL спросит, нужно ли применять сертификат с web-сайту. Если все сделано без ошибок, нажмите y в строке.
Теперь можно назначить сертификат для виртуальной папки OWA. Откройте Менеджер IIS из меню Пуск, правой кнопкой мыши нажмите на папке Exchange, а затем откройте ее свойства.
Активируйте закладку Безопасность папки, нажмите кнопку Изменить в разделе Защищенные соединения. Откроется окно, показанное ниже на рисунке 9.
Установите галочку Требуется защищенный канал (SSL), и галочку Требуется 128-битное шифрование, если это необходимо (это сделает соединение более защищенным, однако такой режим поддерживается не всеми старыми браузерами). Нажмите ОК во всех окнах, чтобы сохранить настройки и закрыть окно свойств виртуальной папки.
Теперь необходимо проверить правильность работы выданного сертификата. Попытайтесь получить доступ к OWA, используя обычный URL. Однако не забудьте использовать протокол https вместо http. Так же помните о причине появления предупреждений — разные имена сертификата и сервера. Если для доступа к OWA используется сервер с только что выданным сертификатом, Вы попадете прямо в приложение. Если же доступ осуществляется с другого компьютера, вероятно, будет выдано предупреждение о том, что сертификат выдан компанией, «которой нет в списке доверенных», как показано на рисунке 10
Такое предупреждение отображается потому, что браузер еще не установил себе локальную копию сертификата. Если Вы не хотите подтверждать продолжение работы каждый раз в будущем, необходимо установить сертификат (это надо сделать на всех компьютерах, с которых происходит доступ к OWA). Для установки сертификата сначала нажмите Просмотреть сертификат, чтобы узнать информацию о сертификате, как показано на рисунке 11.
Теперь нажмите Установить сертификат, чтобы запустить Мастер импорта сертификатов.
Нажмите Next для открытия диалога Хранилище сертификата (рисунок 13).
Оставьте выбор по умолчанию (автоматически выбирать хранилища в зависимости от типа сертификата), нажав Next. Откроется окно Завершение работы мастера импорта сертификата (рисунок 14)
Нажмите Готово и процедура будет завершена. Если все прошло по плану, браузер больше не будет требовать подтверждения продолжения работы при доступе к OWA по протоколу https.
http://www.msexchange.org/tutorials/Key-Archiving-Recovery.html