如何通过ISA2006防火墙发布启用了SSL的OWA

在上一篇文章中，我们说了如何给OWA启用SSL(安全套接字)，在本篇文章中，我们来说明一下如何通过ISA2006防火墙发布启用了SSL的OWA，OWA使用上次的试验环境，下面开始试验。

　　试验环境：Exchange2003

　　CA

　　ISA2006(本次试验使用的是企业版)

　　客户端(任意操作系统)

　　首先我们安装ISA2006，准备一台具有两块网卡的Windows2003操作系统机器，并将ISA2006企业版的安装程序拷贝上去，下面开始安装ISA2006：

　　在安装之前，先要进行网卡设置，首先设置网卡IP地址，如图1：

　　

　　图1

　　然后将要安装ISA2006的机器加入Exchange2003所在的域，并以域管理员的身份登陆，然后开始安装ISA2006：关键部分设置如图2至图6：

　　

　　图2

　

　　图3

　　

　　图4

　　

　　图5

　　图6

　　至此ISA2006安装完毕，下面我们来看如何通过ISA防火墙发布已经启用SSL的OWA。

　　首先将OWA使用的证书导出成一个文件，如图7，打开OWA所在服务器IIS默认网站的属性：

　　

　　图7

　　切换到目录安全性，点击察看证书，在新的窗口中切换到详细信息选项卡,如图8：

　　

　　图8

　点击复制到文件，进行证书的导出操作，如图9：

　　

　　图9

　　选择是，导出私钥，如图10：

　　

　　图10

　　去掉默认的启用加强保护，勾上“如果可能，包括证书路径中的所有证书”导出所有证书，如图11

　　

　　图11

　在此处设置证书导入时需要的密码，可以为空，如图12：

　　

　　图12

　　设置导出后的密钥文件名以及存放路径，如图13：

　　

　　图13

　　点击下一步完成证书的导出工作。

　　在该试验完成之后，客户端访问时访问的是ISA防火墙的外网网卡，然后ISA将客户端的访问请求转交给Exchange服务器，由于我们的Exchange服务器的OWA开启了SSL，所以在ISA防火墙将客户端的请求转交给Exchange服务器时，需要通过一个证书来进行防火墙和Exchange服务器之间的身份验证，从而使客户端在收发电子邮件时，从客户端到ISA，从ISA到Exchange，整个过程都是试用SSL的，安全的!然而ISA所使用的证书必须要求和OWA所使用的证书一致，在上面的步骤中我们已经将OWA试用的证书进行了导出，接下来我们需要将OWA试用的证书导入到ISA服务器中去，看具体操作。

　将刚才从OWA服务器上导出的证书文件拷贝到ISA服务器上，下面进行证书的导入操作。

　　以域帐户登陆ISA服务器，然后运行MMC，如图14：

　　

　　图14

　　点击文件，添加删除管理单元，然后再新窗口中选择添加按钮，如图15：

　　

　　图15

　　选中证书，点添加，选择计算机账户，如图16：

　　

　　图16

　选择本地计算机，然后点完成，关闭对话框，如图17

　　

　　图17

　　然后依次点关闭，确定，分别关闭两个前两个窗口，此时MMC控制台变为如图18：

　　

　　图18

　　选中证书，然后点开里面的个人，然后选中个人里面的证书，如图19：

　　

　　图19

　在证书上点击右键，然后选择所有任务，导入，出现新窗口，点击下一步，如图20所示：

　　

　　图20

　　在此选择从OWA服务器上导出的证书进行导入，点击浏览按钮，在新弹出的窗口文件类型中选择个人信息交换，即可看到从OWA服务器上导出的证书，如图21

　　

　　图21

　　选择刚才导出的证书，并点击打开进行导入，如图22：

　　

　　图22

　　点击下一步，在此输入在导出证书时所设置的密码，如果没有设置则为空，如图23：

　　

　　图23

　　点击下一步，在此选择第二项，并点击浏览按钮，选择个人，如图24：

　　

　　图24

　　点击下一步，然后完成，完成证书的导入过程，此时在MMC的个人/证书中显示为图25所示的样子：

　　

　　图25

　　下面需要将这两个证书拷贝到受信任的根证书颁发机构中去，在个人/证书中选中刚才导入的两个证书，然后点击右键，复制，如图26：

　　

　　图26

　　再在信任的根证书颁发机构这里，选中证书，然后点击右键，选择粘贴，如图27：

　　

　　图27

　　到此为止证书导入工作彻底完成，下面来建立相关的信任关系，首先修改ISA策略。

　　打开ISA管理器，选择阵列，选择防火墙策略，然后点击右键，点击新建访问规则，如图28所示：

　　

　　图28

　给访问规则起个名称,然后下一步，选择允许，即允许符合条件的数据通过防火墙，如图29：

　　

　　图29

　　在此选择允许通过的数据所使用的协议，在这里选择http协议，如图30：

　　

　　图30

　　点击下一步，在这里选择源，即该数据传输请求试用由谁发起的，在这里选择本地主机，如图31:

　　

　　图31

　点击下一步，在这里选择目的，即数据要发送到哪里去，选择内部，如图32：

　　

　　图32

　　然后点两次下一步，然后完成访问规则的创建，如图33所示：

　　

　　图33

　　最后点应用，使访问规则生效。

　　在这里做这一步的目的是，我们要在ISA服务器和Exchange服务器之间建立一个证书上的信任关系，而这个信任关系需要通过CA的证书链来实现，要安装CA的证书链，就需要通过web页面访问CA的web站点，而ISA服务器默认是将这个禁止掉的，所以我们需要单独建立一条访问规则来开启它，下面来安装证书链。

　　在ISA防火墙上打开IE浏览器，输入CA的web站点地址，在该实验中为http://192.168.0.1/certsrv ，如图34：

　　

　　图34

　　由于我们的CA类型为企业根CA，所以在这里需要输入任意一个域帐户进行身份验证，如图35，36：

　　

　　图35

　　

　　图36

　在这里选择下载一个CA证书，证书链或CRL，如图37

　　

　　图37

　　选择安装此CA 证书链，然后在所有的提示信息中都点是，最后提示安装成功，如图39：

　　

　　图38

　　至此ISA服务器于Exchange服务器之间的CA信任关系建立完成，下面看如何发布Exchange服务器：

　　在ISA 服务器上建立服务器发布规则。

　打开ISA服务器管理，选中防火墙策略，然后点击右键，选中Exchange Web客户端访问发布规则，如图39：

　　

　　图39

　　给规则起个名字，例如叫OWA，然后点击下一步，出现如图40所示：

　　

　　图40

　　在Exchange版本这里选择Exchange2003，Web客户端邮件服务这里选择前两项，然后下一步，如图41：

　　

　　图41

　在这里进行设置Exchange服务器的工作方式，第一种为只有一个Exchange服务器，第二种为有多个Exchange服务器，然后组合成一个Exchange集群，即一个Exchange服务器场，可根据实际情况来选择，在本次试验中我们选择第一项，点击下一步，如图42：

　　

　　图42

　　在这里设置发布方式，我们选择第一项，使用SSL 的安全连接，下一步，如图43：

　　

　　图43

　　在这里设置Exchange服务器的计算机名，注意该名称要和Exchange计算机名，OWA服务器在申请证书时输入的公用名称，以及外部客户端在访问Exchange服务器时使用的域名要完全一致，在本次试验中问owa.caohj.com ，下一步，如图44：

　　

　　图44

　　在此设置外部客户端通过什么域名来访问Exchange服务器，要和上一步输入的名称以及证书名称一致，点击下一步，如图45：

　　

　　图45

　　在此设置侦听器。我们现在做的步骤是将放置于内部子网的Exchange服务器通过ISA进行发布，然后让外部的用户来进行访问，而ISA在这个过程中起个转发过滤功能，即当用户访问ISA的外网网卡时，ISA防火墙进程将访问请求转发给内部的Excahnge服务器，而Exchange服务器在接受到请求后做出回应，并将回应信息发送给ISA防火墙的内部网卡，ISA防火墙再将回应信息转发给外部的客户端，完成整个通信过程。而侦听器就是用来设置ISA防火墙进程侦听来自哪个网络(内网还是外网或者别的)的访问请求以及使用的协议，在此我们点击新建，新建一个侦听器。

　　点击新建，如图47所示：

　　

　　图46

　　给侦听器起个名字，例如叫SSL，然后点击下一步，如图47：

　　

　　图47

　　在这里选择第一项，SSL安全链接，点击下一步，如图49：

　　

　　图48

　　在这里勾选中外部，设置让侦听器侦听来自外部的访问请求，下一步，如图49:

　　

　　图49

　　在此进行证书设置，点击选择证书，选择我们开始导入的证书，如果证书导入没有问题，则显示应该为图中所示，完了之后点击选择，下一步，如图50：

　　

　　图50

　在这里选择客户端打开Exchange登陆窗口时使用的验证方式，在本次试验中我们按照默认的选择，点击下一步，如图51：

　　

　　图51

　　在这一步中去掉SSO选项，点击下一步，完成侦听器的创建如图52：

　　

　　图52

　　点击下一步，设置ISA和OWA服务器之间的验证方式，选择默认的基本身份验证，如图53：

　　

　　图53

　　点击两次下一步，完成，完成整个发布规则的创建，然后点击应用，使刚才创建的发布规则生效。

　　由于我们在图44这一步中，设置的是OWA服务器的计算机名，所以我们需要做相关的解析，可以为DNS，也可以为hosts表，在这里我们以hosts表为例。

　　在ISA服务器上用记事本打开c:/windows/system32/drivers/etc 文件夹下的hosts文件，然后在最下面加入一行

　　192.168.0.2 owa.caohj.com

　　前面为OWA服务器的IP地址，后面为计算机名，中间用空格。如图54：

　　

　　图54

　　保存，关闭该文件，下面在外部客户端使用域名进行访问，效果如图55所示：

　　

　　图55

　　注意，在此访问时使用的地址为https://owa.caohj.com/exchange ，而owa.caohj.com对应的地址应该为ISA防火墙外网网卡的IP地址。输入用户名和密码可进行登陆。如图56所示：

　　

　　图56

　　在这里需要注意，如果能弹出这个登陆窗口，但是输入用户名密码确不能登陆，需要注意几个问题，首先ISA服务器要加入Exchange所在的域，其次用户名的书写格式为 域名\用户名，另外需要注意用户名密码的正确性，如果不能弹出这个登陆窗口，则需要检查各处证书之间是否存在问题，所使用的名称是否一致，计算机名解析是否正确，服务器发布规则是否保存应用等。