Bu yazımızda Local networkumuzdaki bir Exchange 2003 üzerindeki OWA nın bir Back-end ve bir Front-end ISA üzerinden sertifikalı olarak Publish edilmesine değineceğiz. İlk olarak External Client Frontend ISA ya Front-end ISA dan Back-end ISA ya oradan da Exchange tarafındaki OWA site a ulaşacak. Bu işlem esnasında SSL li iletişim kullanılmasını sağlamak için aşağıdaki işlemleri gerçekleştirmeye başlayalım.
Not: Konu üç bölüm halinde yayınlanacaktır.
Şekil-1
Network Ayrıntıları | ||||
Exchange 2003 | Back-end ISA | Front-end ISA | OWA Client | |
IP Adresi | 10.0.5.60 | Int: 10.0.5.50Ext: 172.16.5.50 | Int: 172.16.5.35Ext: 192.168.5.35 | 192.168.5.32 |
Default Gateway | 10.0.5.50 | – | – | – |
DNS | 10.0.5.6010.0.5.67 | 10.0.5.60 | – | – |
OS | Server 2003 | Server 2003 | Server 2003 | Windows XP PRO |
Servisler | DCDNS DHCP RADIUS Enterprise CA | ISA Server 2004 | ISA Server 2004 | – |
İsimler | dc.aydine.local | aydinisa2004b.aydine.local | aydinisa2004f | emrea |
Tablo-1
Dc.aydine.local üzerinde IIS i açalım.
Aşağıdaki bölüme ilerleyelim.
Default Web Site > Properties > Directory Security > Server Certificate > Secure Communications > Welcome to the Web Server Certificate Wizard > Server Certificate > Create a new certificate
Şekil-2
Şekil-3
İç ve dış kullanıcılarımızın erişecekleri ismi buraya verelim.
Şekil-4
Sonraki adımlarda kendi şirket adımızı ve coğrafi adımlarımıza uygun seçenekler ile wizard ı tamamlayalım.
OWA Web Site Sertifikasını Private Key ile Export etmek
Yarattığımız sertifikayı diğer server larda kullanmak için export işlemini gerçekleştirelim.
Default Web Site > Properties > Directory Security > Server Certificate > Secure Communications > View Certificate > Details > Copy to File şeklinde adımları takip edelim.
Şekil-5
Şekil-6
Şekil-7
Şekil-8
Şekil-9
Next dedikten sonra bir şifre vererek sertifikayı masaüstümüze kayıt edelim.
OWA Site ın SSL Encryption ve Basic Authentication için Konfigurasyonu
OWA klasörleri için aşağıdaki adımlardan sonra basic authentication etkin olacaktır. Bunda korkulacak herhangi bir durum yoktur çünkü kullanıcılar klasörleri üzerinde işlem yaparken SSL kullanacaklardır. Aşağıdaki adımları takip edelim.
Start > Administrative Tools > Internet Information Services > Internet Information Services (IIS) Manager > Default Web Site a ulaşalım ve sağ tarafa bakalım.
Owa kullanıcıları aşağıdaki 3 klasör ile etkileşim içindedirler.
/Exchange
/ExchWeb
/Public
Exchange > Properties > Directory Security > Authentication and access control > Edit > Authentication Methods > Basic authentication seçeneği dışındaki seçenekleri temizleyelim ve bu işlemi /ExchWeb, /Public klasörleri içinde gerçekleştirelim.
Şekil-10
Şimdi kullanıcılar OWA klasörlerine bağlandıklarında SSL li bağlantıyı force etmek için aşağıdaki adımları gerçekleştirelim.
Start > Administrative Tools > Internet Information Services > Internet Information Services (IIS) Manager > Default Web Site >
/Exchange
/Exchweb
/Public
Exchange > Properties > Directory Security > Secure Communications > Edit > Require secure channel (SSL) ve Require 128-bit encryption kutucuklarını işaretleyelim > Bu işlemi /ExchWeb, /Public klasörleri içinde gerçekleştirelim. Şekil-10 referans alınabilir.
Şekil-11
Back-end ISA ya OWA Web Site Sertifikasını İmport Etmek
Hem Front-end ISA ya hemde Back-end ISA ya daha öncesinde yedek aldığımız sertifikayı yükleyelim.
Start > mmc > Add > Add/Remove Snap-in > Certificates > Add > Computer account > Local computer: (the computer this console is running on) > Finish
Karşımıza gelen pencerede sağ tarafta Personal > All Tasks > Import u seçelim ve Welcome to the Certificate Import Wizard > Password > Mark this key as exportable kutucuğunu boşaltalım çünkü kullandığımız server üzerinden bizim kullandığımız keylerin bir şekilde dışarı sızması ile security tarafında sorunlar yaşanabilir.
Certificate Store sayfasında > Place all certificate in the follow store > Personal > Certificate store > Next > Completing the Certificate Import > Finish.
Bu import işleminin aynısını Front-end ISA da gerçekleştirelim.
Şekil-12
ISA Server Üzerinde OWA Publishing İçin Host Dosyası Düzenlenmesi
Yapımızda isim çözümlemeleri için DNS kullanmak yerine Lmhost ve Host dosyalarını kullandığımız için bu bölümde Back-end ISA üzerinde bu dosyalara bazı girdiler yapacağız.
WINDOWS\system32\drivers\etc\hosts dosyasını notepad i kullanarak açalım.
Local de OWA yı taşıyan Exchange2003 ün IP (10.0.5.60) si için bir kayıt oluşturalım.
10.0.5.60 owa.aydine.local
Şekil-13
Artık Back-end ISA dan OWA yı publish etmeye hazırız.
Microsoft Internet Security and Acceleration Server 2004 > Firewall Policy > Tasks > Publish a Mail Server > Welcome to the New Mail Server Publishing Rule Wizard > Mail Server Publishing Rule name > Select Access Type > Web client access (Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync > Next
Şekil-14
Şekil-15
Secure connection to client and mail server seçeneği ile network trafiğinin sniff edilmesi engellenecektir.
Şekil-16
Şekil-17
Şekil-18
Select Web Listener sayfasında New e tıklayalım. Web Listener özelliği ISA 2000 dekiyle aynı yapıda çalışır fakat ISA 2004 te daha fazla seçenekle geliştirilmiş bir yapıya sahiptir. Örnek olarak SSL li ve Non-SSL li istekler için aynı IP adresine ayrı Web Listener lar tanımlayabiliriz.
Welcome to the New Web Listener Wizard > Web listener name >isim olarak OWA SSL Listener ı kullanacağız > Next > IP Addresses sayfasında External ı işaretleyelim.
Address > External Network Listener IP Selection sayfasında > Specified IP addresses on the ISA Server computer in the select network u işaretleyerek Back-end ISA nin external IP (172.16.5.50) sini seçeceğiz.
Next > IP Addresses > Port Specification sayfasında Enable HTTP kutucuğunu boşaltalım ve Enable SSL kutucuğunu işaretleyelim. SSL port numarasını 443 te bırakalım.
Select > Select Certificate > diyerek listeye gelen sertifikayı seçelim. Bu bölüme sertifikanın gelmemesinin sebeplerinden bir tanesi oluşturduğumuz sertifikanın Private Key i taşımaması olabilir.
Şekil-19
Next > Finish diyerek işlemi bitirelim, aşağıdaki gibi bir pencerenin önümüzde görüntülendiğini göreceğiz.
Şekil-20
Next > Select Web Listener > All Users > Next > Finish.