Office中国论坛/Access中国论坛
标题:
确保 Exchange 通信的安全二
[打印本页]
作者:
ghosty
时间:
2008-10-14 09:17
标题:
确保 Exchange 通信的安全二
为您的
OWA
前端
服务器
申请证书
注意:下面的步骤假设您的环境中已经安装了一个
CA
。
1.
启动您的
OWA
前端
服务器
上的“
Internet
服务管理器”。
2.
右键单击“默认网站”,然后单击“属性”。
3.
单击“目录
安全
”选项卡,然后单击“服务器证书”。
4.
单击“下一步”。单击“新建证书”,然后单击“下一步”。
5.
单击“立即向联机证书颁发机构发送请求”选项按钮,然后单击“下一步”。
6.
在“名称”字段中,键入一个名称,然后单击“下一步”。
7.
在“组织”字段中,键入您组织的名称。
8.
在“组织单位”字段中,键入您的组织单位名称,然后单击“下一步”。
9.
在“公用名”字段中,键入您的
OWA
前端服务器的
FQDN
,然后单击“下一步”。
10.
键入省、市信息,然后单击“下一步”。
11.
在“证书颁发机构”下拉列表框中,验证是否选中了您的证书颁发机构,然后单击“下一步”。
12.
单击“下一步”提交该请求,然后单击“完成”完成该向导。
13.
在“目录
安全
”选项卡上,“安全通信”组框中,单击“编辑”。
14.
选择“需要安全通道
(SSL)
”,选择“需要
128
位加密”,然后单击“确定”。
15.
在“目录安全”选项卡上,“匿名访问和授权控制”组框中,单击“编辑”。
16.
选择“基本身份验证
(
明文发送密码
)
”,然后单击“是”确认警告。
17.
取消选中所有其他选项,然后单击“确定”。
18.
单击“确定”。
19.
单击“确定”关闭“继承覆盖”对话框,然后关闭“
Internet
服务管理器”。
注意:公用名是
OWA
服务器的
FQDN
,因为此名称与
ISA
服务器上的“
OWA
发布规则属性”相匹配。在发布过程中,
ISA
服务器会检查
OWA Web
证书的有效性,以及证书信任链验证和证书过期日期。
OWA
前端服务器和后端
Exchange
服务器之间的加密
您不能使用
SSL
对
OWA
前端服务器和后端服务器之间的数据进行加密。但是,如果前端服务器和后端服务器均运行
Windows
2000
,可以使用
IPSec
进行这种加密。
IPSec
的优点是比
SSL
运行速度快很多。
注意:为了提高
IPSec
的性能,减少它的开销,应当考虑使用专门的网络适配器来分担
IPSec
处理。
IPSec
使您能够控制该网络适配器接受哪些
协议
,阻止或允许一些端口以及对其他端口进行加密。对于前端
/
后端服务器通信,您需要确保端口
80
是加密的。
IPSec
是通过在
Windows
2000
组策略中定义的
IPSec
策略来控制的。
表
1. IPSec
策略设置
策略
设置
OWA
前端
端口 80 出站 – 加密
端口 80 入站 – 阻止
后端
端口 80 入站 – 加密
可以阻止来自前端服务器的入站请求,因为该前端服务器发起了与后端服务器的所有通信。阻止这些请求可以避免意外以明文形式传输用户凭据,并且可以将前端服务器上缓冲区溢出的危险降到最低。
创建
OWA
前端服务器
IPSec
策略
要创建和配置的第一个策略是用于
OWA
前端服务器的。
创建出站
TCP 80
筛选器
1.
启动“
Active Directory
用户和计算机”。
2.
展开“成员服务器”,展开“应用程序服务器”,然后展开
Exchange 2000
。
3.
右键单击“
OWA
前端服务器”
OU
,然后单击“属性”。
4.
单击“组策略”选项卡。
5.
选择“
OWA
前端增量”
GPO
。
6.
单击“编辑”。
7.
展开“
Windows
设置”,“安全设置”,然后右键单击“
Active Directory
上的
IP
安全策略”
8.
单击“管理
IP
筛选器表和筛选器操作”。
9.
单击“添加”。
10.
在“名称”框中,键入
Outbound TCP 80
–
OWA FE
。
11.
在“说明”框中,键入“此筛选器匹配
OWA
前端服务器上的出站
TCP 80
通信”。
12.
单击“添加”,然后单击“下一步”。
13.
在“源地址”下拉列表框中,验证是否显示了“我的
IP
地址”,然后单击“下一步”。
14.
在“目标地址”下拉列表框中,验证是否显示了“任何
IP
地址”,然后单击“下一步”。
15.
在“选择
协议
类型”下拉列表框中,选择
TCP
,然后单击“下一步”。
16.
在“设置
IP
协议
端口”中,验证是否选中了“从任何端口”,然后选中“到此端口”,并键入
80
。
17.
单击“下一步”,然后单击“完成”。
18.
单击“关闭”关闭“
IP
筛选器列表”窗口。
创建入站
TCP 80
筛选器
1.
单击“添加”。
2.
在“名称”框中,键入
Inbound TCP 80
–
OWA FE
3.
在“说明”框中,键入“此筛选器匹配
OWA
前端服务器上的入站
TCP 80
通信”。
4.
单击“添加”,然后单击“下一步”。
5.
在“源地址”下拉列表中,选择“任何
IP
地址”,然后单击“下一步”。
6.
在“目标地址”下拉列表框中,选择“我的
IP
地址”,然后单击“下一步”。
7.
在“选择协议类型”下拉列表框中,选择
TCP
,然后单击“下一步”。
8.
在“设置
IP
协议端口”中,验证是否选中了“从任何端口”,选择“到此端口”,然后键入
80
。
9.
单击“下一步”,然后单击“完成”。
10.
单击“关闭”。
11.
单击“关闭”。
欢迎光临 Office中国论坛/Access中国论坛 (http://www.office-cn.net/)
Powered by Discuz! X3.3