V. 5.5/2000/2003

MD@nshin · Отправлено: **10:05, 22-12-2008** | #2

http://www.msexchange.org/tutorials/MF004.html

vicwanderer · Отправлено: **17:52, 23-12-2008** | #3

Именно эту статью сам и нашёл. Думал может что со времени написания статьи изменилось.

vicwanderer · Отправлено: **10:51, 24-12-2008** | #4

Вот ещё статья по моей теме
http://www.winblog.ru/2006/09/25/25090603.html
Хочу узнать кто-как настраивает связку Isa+Exchange, по варианту 1,2 или 3. Т.е. где используете сертификат на Isa или на Exchange?

В указанной MD@nshin статье сертификат используется на Exchange. Т.е. устанавливается SSL тунель между клиентом и сервером Exchange. Получается он проходит сквозь Isa что не очень хорошо с точки зрения безопасности.

И ещё кто-то использует сертификаты сторонних производителей? Насколько это безопасно?

Oleg Krylov · Отправлено: **11:36, 24-12-2008** | #5

Цитата vicwanderer:

кто-как настраивает связку Isa+Exchange »

Оптимальны, с точки зрения безопасности, вариант - использование в качестве точки входа сервера ISA. Для этого неоюходимо импортировать сертификат с Exchange на ISA и назначить его в свойствах слушателя в правиле публикации. А запросы направлять по шифрованному каналу от ISA к Exchange. В этом случае Вы получите максимально защищенную конфигурацию. Работать будет примерно так:
1. Клиент устанавливает туннель с сервером ISA, где происходит расшифровка траффика, его анализ на предмет гадостей всяких.
2. Траффик снова шифруется, и по шифрованному каналу отправляется на Exchange.
Именно при таком сценарии ISA работает как фильтр уровня приложения. А то ведь в SSL-туннеле можно передать что угодно.
Сторонние сертификаты - если есть лишние деньги и не хочется парится с импортом на клиентов. Хотя доверенная организация - требование только для RPC over HTTPS и ActiveSync. OWA подключится даже если сертификат недоверенный.

vicwanderer · Отправлено: **14:28, 24-12-2008** | #6

Oleg Krylov, поясните "OWA подключится даже если сертификат недоверенный". Т.е. я могу сделать/сгенерировать сертификат сам не поднимая у себя центр сертификации? Если да, то как это сделать?

Oleg Krylov · Отправлено: **14:33, 24-12-2008** | #7

В Exchange 2007 можете. Но в Exchange 2003 нет.Центр сертификации необходим. Преимуществ два, но больших:
1. Бесплатно
2. Вы сами решаете вопрос о перевыпуске сертификата, его отзыве в случае компрометации, не завися при этом от третьих лиц.
OWA будет работать, если сертификат имеет ошибки. Есть три критерия достоверности сертификата:
1. Сертификат выдан Центром сертификации, входящим в состав доверенных
2. Срок действия сертификата действителен в данный момент.
3. Common Name сертификата совпадает с точкой входа.
При невыполниении условий 1 и 3 OWA подключится, выдав предупреждение. RPC over HTTPS и ActiveSync просто откажутся.
Чтобы выполнить первое условие, импортируйте сертификат Вашего корневого центра сертификации в Доверенные корневые центры на машине клиента.
Второе условие понятно, надеюсь
Третье условие - Common Name задается при формировании запроса на сертификат. Common name равен FQDN сервера при обращении из внешней сети. Например, Ваш сервер в локалке называется exchange.domain.local, а снаружи mail.domain.com. В этом случае Common Name = mail.domain.com

shav-75 · Отправлено: **17:10, 14-06-2009** | #8

Цитата Oleg Krylov:

Для этого неоюходимо импортировать сертификат с Exchange на ISA и назначить его в свойствах слушателя в правиле публикации. »

Как это сделать. Точнее как экспортировать сертификаты с ЦС?
В каком хранилище Лежит OWA SSL на Exchange сервере?

minion · Отправлено: **15:14, 19-06-2009** | #9

shav-75,
Заходишь в IIS и отуда его выцорапываешь экспортом.

dvassilyev · Отправлено: **12:48, 14-07-2009** | #10

http://www.msexchange.org/tutorials/..._OWA_2003.html вот статейка как сделать сертификат, скачать его с CA и экспортировать в exchange