使用SELFSSL为OWA建立一个自签名证书

前言

在使用EXCHANGE自带的OWA（OUTLOOK WEB ACCESS）时，默认情况下是使用NTLM验证的，这时会弹出一个窗口要求用户输入用户、密码和域，这和我们的习惯有些不相似。在EX2003里，OWA带来了一种和我们平常上网使用的表单一样的登录方式，我们称为表单登录。然而表单登录因为使用的是明文传输，所以需要对密码进行加密，一般使用SSL来加密通信，这时我们就需要给OWA站点建立一个证书，通常情况下，我们是借助企业CA或独立CA来建立自己的证书，这样不仅要安装CA服务器，还需要完成很多的工作，尤其是当OWA运行在公网的时候，这些操作无疑是复杂的。现在好了，我们可以借助SELFSSL来给OWA站点签发自签名的证书而不需要CA服务器了。

过程

首先我们要完成这个工作，需要找到SELFSSL这个工具，别着急，且听我慢慢道来。在微软下载中心下载IIS6 资源工具包（http://www.microsoft.com/downloads/details.aspx?familyid=56FC92EE-A71A-4C73-B628-ADE629C89499&displaylang=en），在其中有SELFSSL这个工具。

下载完毕后，在安装有OWA站点的服务器上安装它，因为我们只需要SELFSSL这个工具，所以我们选择定制安装（当然你要想使用所有工具，也可以完全安装）



接下来选择安装的路径，可修改。


在安装的组件里选择SELFSSL。


等待安装完成，你可以去喝点COFFEE，^_^ 安装完成后，系统会在开始菜单里建立对应的程序组，其中我们看到了SELFSSL的影子。


注意：SELFSSL是个命令行工具！！
打开SELFSSL，可以看到SELFSSL的帮助页，如图：


这里我们主要关心的参数是公用名称，这是要和你的OWA域名一样的。还有就是有效时间，一般为365天（1年），如果你有兴趣可以设置个100年，呵呵。。其他要注意的参数就是/K（密钥长度，不要超过1024位），还有/T（自动增加信任列表）

现在请你输入：SELFSSL /N:CN=owa.mydomain.com /T /V:365
以上命令表示我们将建立一个公用名称为owa.mydomain.com,时间为365天的证书。

SELFSSL将询问你是否将证书应用到指定的WEB站点（/S可指定站点ID）上，输入“Y”以确认。


现在你可以打开IIS的管理工具的OWA虚拟目录exchange，应该可以看到在站点上已经有了SSL证书了。打开exchange虚拟目录的属性


打开证书里的编辑。


在需要SSL的复选框中选中，并按需要选择是否需要128高加密。


现在关闭属性页，你的SSL已经可以使用了。你可以打开IE，输入https://owa.mydomain.com/exchange，注意此处要输入的是HTTPS，而不是HTTP。你将看到证书安全警告框。


该警告提醒你你的证书不被信任。选择[查看证书]，可以看到证书的详细信息，从该信息里可以看到该证书尚未安装。


选择[安装证书]，开始证书的安装。


选择证书的存储容器


选择自动选择存储容器，继续完成安装


OK，完成该向导，你的证书已经被安装到信任列表了，你将不会再看到证书警告框了。你可以以安全的方式访问你的OWA了。

推荐阅读

The IIS 6.0 Resource Kit Tools:
http://support.microsoft.com/default.aspx?scid=kb;en-us;840671
,