自定义 CA 来对Exchange 2003 OWA设置SSL-rrobin博客

huijial

　　地址：http://didda.blog.51cto.com/812410/192279
　　为什么要购买一个三方的证书呢，浪费钱，为什么不自己建一个CA来对Exchange 进行加密呢？这篇文章将一步步教你使用自己的 CA 生成 SSL 证书，进而使你的 Exchange 服务器变得更安全。
　　配置CA
　　首先，你要确定在哪个服务器上安装CA服务，只要是一台加入域的成员服务器就可以了。对于有一些单服务器的环境，比如SBS, 这个决定并不难。
　　注：
　　为了安装证书服务的web注册组件，这台服务器上要安装IIS，我们稍后会用到这个组件，如果你还没安装，那就装吧。如果你准备在Exchange 2003 本身安装 CA, 那么就不用费心安装IIS了，人类都知道，Exchange 2003对IIS有较强的依赖性，这表示，它已经装过了。
　　根据下面的步骤来安装CA：

• 点开始-> 控制面板 –> 添加删除程序
  
• 选添加/删除 Windows 组件
  
• 选中 Certificate Service.
  
• 下面的回弹出一个警告，直接点 “是”跳过
  

　　Didda注：警告的意思是：装了证书服务后，计算机名字和域成员的关系也许就无法改变了，因为CA的信息被绑定到AD中了。如果你改了，就可能造成证书失效。在安装之前，请确认服务器名字和域成员的关系，你想继续吗？
　　下面来选CA的种类，选Enterprise Root CA, 点下一步。

　　我们来确定CA 的Common Name，这篇文章使用 mail.testdomain.com.
　　其它的选项不用管，直接点 Next >

　　我们现在来确定CA的数据库和日志文件的存放点，和配置信息，我们这里用默认的，一般情况下用默认的就可以。
　　点下一步

　　开始安装了，最后点完成就可以了。

　　为 Exchange 生成一个证书申请
　　我们安装了证书组件，现来为我们的默认站点创建一个证书申请

• 点击开始-》 管理工具-》Internet 信息服务管理器
  
• 展开网站-》 右键点击默认网站，选属性
  
• 点目录安全选项卡
  
• 在安全交流下，选服务器证书
  

　　

　　默认就会选中建一个新证书

　　

　　因为我们用的是自己的CA, 选以后发送申请

　　

　　为你申请的证书起一个名字，起个好记点的，容易辨认的

　　

　　输入组织信息

　　

　　下面，要细心了，common name必须要和访问的OWA名字一致，就是外部internet 用户在浏览器里输入的地址。
　　注：因为一些小的企业，不会发布Exchange到Internet，Exchange使用的是私有IP地址，他们的服务提供商 ISP来处理外部的DNS设置。大多数情况下ISP创建了一个A记录，比如mail.domain.com，指向企业的外部公共IP 地址，把443端口的数据转发到内部的IP 地址。

　　

　　填省市，国家信息

　　

　　输入生成的请求文件的名字，默认的就可以

　　

　　这里，我们可以看到前面填写的信息，如果有什么错，这是你最后更改的机会了。

　　最后点完成就OK了。
　　让CA接受这个待定的请求
　　现在我们有一个待定的请求，我们要让CA接受它，参考下面的步骤

• 打开IE
  
• 输入http://CAservername/certsrv
  

　　注：为了访问 Certsvr 这个虚拟目录，你可能会被要求输入用户名和密码，如果你用 Administrator 账户，Windows 2003很有可能会阻止访问CertSrv的目录，这意味着你要把它加入信任的站点。
　　现在，我们可以看到证书服务欢迎你了，选申请证书。

　　

　　选高级证书申请

　　选提交一个基于base-64-encoded CMC or PKCS #10 编码的文件 或者提交一个基于 a base-64-encoded PKCS #7 的文件

　　

　　找到前面生成的那个certreq.txt文件，打开，把内容都复制进去，然后选提交，记住下面的模板要选择Web Server

　　

　　选 Base 64 编码 然后点下载证书

　　选择保存

　　

　　选择保存certnew.cer 到C盘

　　

　　现在可以关掉证书服务的IE窗口了。
　　把证书绑定到默认站点
　　现在要把申请来的证书绑到默认站点
　　点开始-》 管理工具-》Internet信息服务管理器
　　展开站点 -》右键点击默认站点，选属性
　　选择目录安全性选项卡
　　选服务器证书，选择，下一步
　　
　　选择继续安装证书

　　除非你有特殊要求，一般都是用443端口做SSL加密

　　看到前面步骤的信息的一个摘要，这是你最后的机会来修改。

　　选择下一步，证书就被安装成功了。
　　在默认站点上开启SSL加密
　　证书被加到默认的站点了，这时候，客户端和服务器的通讯还不是加密的，选择安全通信下的 编辑，选中需要SSL加密，然后选择 128位加密。

　　测试SSL加密是否被启用了
　　现在来测一下证书安装和加密是否成功了
　　在服务器或客户端上打开下面的地址
　　http://exchange_server/exchange
　　你会看到如下的提示

　　这是正常的，因为站点已经加密了，所以你要用https访问 默认站点下的所有目录。使用下面的地址。
　　https://exchange_server/exchange
　　有可能会弹出下面的框

　　注: 收到这个信息很正常，因为外部访问用的是mail.testdomain.com/exchange，现在你在内部访问，用的exchange_server/exchange，名称和证书的common name不一致，选择是
　　如果你没有启用表单验证，那么会弹出一下的框，输入管理员的账户测试一下。

　　可以看到邮箱内容了

　　注意，IE浏览器，下面那个锁提示你和站点的通讯已经被加密了
　　写在最后的话
　　尽管我们可以不用SSL 证书对Owa进行加密，我们强烈推荐你使用SSL加密，如果不加密，你的密码使用明文传输，会有被截取的可能。但使用SSL进行加密并不是最优的方法，最好在Exchange 前面放置一台防火墙，比如ISA。
　　你也许想要启用 表单认证，这种认证方法提供了一下额外的好处，比如登陆界面，用户进程的cookies使得OwA更安全。
　　这次就写到这里，希望你喜欢这篇文章