ExchangeRUS.ru

Всё о о Microsoft Exchange Server и электронной почте.

Использование внутренних сертификатов организации для внешних клиентов.

Опубликовано По

Для доступа к электронной почты из Интернета необходимо ОБЯЗАТЕЛЬНОЕ шифрование трафика. Кто так не думает – возьмите Network Monitor и передавайте привет паролям, бегающим в открытом виде.Так вот, клиенты, работающие по HTTP, RPC over HTTPS, POP3, IMAP4, SMTP требуют сертификат для SSL шифрования. Как это настраивается написано в множестве статей. Сертификаты для шифрования могут быть получены или из внешнего центра сертификации в Интернет или из центра сертификации, установленного в организации. С первым понятно, это один из Thawte, Verisign и т.д.

Прелесть в том, что их корневые сертификаты установлены по умолчанию в Windows, как доверенные. Стоят такие сертификаты по-разному и даются на год.

Второй вариант – внутренний центр выдачи сертификатов, установленный на предприятии. Тут правда есть маленькая проблема. При доступе через Интернет ваш компьютер ничего не знает про центр сертификации предприятия и не может проверить сертификат. Например, если обратится к OWA с компьютера, который не знает про внутренний центр сертификации(например ваш домашний компьютер или компьютер в Интернет кафе), то Вы увидите дурацкое окошко.

Можно ответить «Yes» и работать дальше, но это многих пользователей раздражает. Кроме того, клиентские программы могут просто не работать. Решением этой проблемы является добавление корневого сертификата внутреннего центра сертификации в раздел хранилища сертификатов «Trusted Root Certification Authorities» на компьютере пользователя.Если в вашей компании использовались внешние сертификаты и планируется переход на внутренние, то необходимо проделать следующее:

1. Потренироваться на виртуальных машинах с установкой центра сертификации, конфигурации серверов и клиентов.2. Настроить работу внутреннего центра сертификации, выдать сертификаты почтовым серверам.

3. Определить пользователей, использующих внешний доступ. Это просто, достаточно проанализировать Application log и журнал Web сервера.4. Составить детальную инструкцию об импорте сертификатов на клиенты.

5. Разослать письмо сотрудникам о переходе заранее и назначить точную дату перехода на внутренние сертификаты. Хотелось бы поподробнее рассмотреть пункт 4. В качестве клиентов могут быть компьютеры, КПК и мобильные телефоны. Поэтому сертификаты нужно импортировать на все эти устройства.Я решил сделать универсальный способ. Для этого нужно сделать одно место для скачивания сертификата. Поэтому я сделал ссылку на главной страничке OWA «Install certificate», указывающую на корневой сертификат: http://server.mydomain.ru/my-root-cert.cer, чтобы файл можно было скачивать по Интернету. Обратите внимание, что у файла расширение не сrt, а cer. Дело в том, что мобильные телефоны импортируют сертификаты только из файлов с расширением cer, обрабатывать файлы crt, как сертификат, они не могут.

По умолчанию IIS настроен так, что отдает файлы с расширением cer браузеру, как текст, а не сертификат. Поэтому нажав на ссылку Вы увидете набор символов в браузере. Для того, чтобы IIS отдавал браузеру crt, как сертификат нужно проделать следующее:

В свойства Default web site в IIS, HTTP Headers, Mime Types, добавить .cer типа application/x-x509-ca-cert. В home directory/ application configuration удалить mappings для .cer


Тогда процедура установки сертификатов на устройства будет примерно такой:

  1. Компьютеры
    Для установки на компьютер необходимо зайти на страничку с OWA, два раза кликнуть по ссылке «Install certificate». Затем нажимать на «Yes» и «Finish». Сертификат установится в нужное место сам.
  2. КПК
    Нужно зайти на страничку через браузер, кликнуть по ссылке «Install certificate» и установить сертификат через диалог установки сертификата в хранилище сертификатов.
  3. Мобильные телефоны
    Мобильные телефоны в своем большинстве не знают про сертификаты вообще. Но у бизнес телефонов Nokia есть понятия о сертификатах. Необходимо тоже зайти через браузер по ссылке «Install certificate» и скачать сертификат на телефон.

По хорошему можно импортировать сертификат на устройство любым способом, но мне кажется скачивание по ссылке наиболее удобно.

Отлично про сертификаты и Exchange 2007 написано здесь.

Похожие посты:

  • john

    На самом деле такой способ установки (без всякой по сути проверки пользователем — хотя по thumbprint) сводит на нет весь смысл PKI — доверию корневому ЦС. Что помешает атакующему в этом случае передать пользователю свой сертификат ЦС?
    Я бы очень не рекомендовал использовать такой упрощённый подход.

  • KomatoZo

    To john: а никто и не предполагает использование этой схемы для подтверждения «личности» сервера. Только для шифрования траффика. Так что она имеет право жить. Для такой цели подошел бы даже самоподписанный сертфикат, но он имеет другие недостатки.

  • john

    Шифрования с кем? В этом случае совершенно отлично после установки другого сертификата сработает «man in the middle», который весь этот трафик и прочтёт

  • Pavel Nagaev [MVP Exchange]

    john, я не являюсь специалистом по сертификатам. Но в моя схема работает точно также, как схема с публичными сертификатами.

    Объясните пожалуйста на пальцах в чем недостаток и как можно атаковать подобную систему. Пожалуйста.

  • KomatoZo

    To John: z еще раз объясняю. Для просто шифрования. Чтобы обычный посторонний кекс не мог подслушать траффик на промежуточном шлюзе, например. Если нет необходимости жестко аутентифицировать сервер, то шифрование работает. Есть куча сайтов с самоподписанными сертификатами, которые прекрасно живут. А вообще не так давно у кого-то из англоязычных блоггеров пробегала целая подборка по поводу ложного чувства защищенноси от факта наличия проверяемого сертификата на сайте.
    Паша, есть разные схемы, когда человек реально обращается не к тому сайту, к которому ему хочется. От таких атак этот сертификат и этот способ не спасет. Впрочем, реально обычного пользователя не спасет и наличие сертификата от VerySign, если не предпринять дополнительных танцев с бубном, о чем не сказал John. Если хочешь, я тебе понарою ссылочек на эту тему, но она достаточно большая =)

  • Pavel Nagaev [MVP Exchange]

    Ссылки почитал бы, особенно интересует возможность атак в моей схеме. Вот не вижу я ничего криминального.

  • longshot

    Здравствуйте! Я экспортировал сертификат в файл с расширением .cer, сделал ссылку в окне OWA, далее по инструкции выполнил "В свойства Default web site в IIS, HTTP Headers, Mime Types, добавить .cer типа application/x-x509-ca-cert. В home directory/ application configuration удалить mappings для .cer
    "
    Но по клику установить сертификат, выходит текст, подскажите что не так сделал? Буду весьма признателен, т.к. требуется установить сертификат на мобильные устройства.

  • http://www.samarasoft.ru Oleg Krylov

    А вот тут вот просто супер все написано! http://www.microsoft.com/rus/technet/itsolutions/mobile/deploy/msfpdepguide.mspx
    При использовании мобильных устройств сертификат установить в хранилище Trusted Root получается либо формированием CAB-файла, либо написанием обработчика. Первый способ проще. На второй есть готовый продукт)))

  • http://www.exchangerus.ru Pavel Nagaev

    Покажите скриншот.IIS рестартовали?

  • longshot

    to Oleg Krylov: Спасибо за ссылку, но я так понял там для Exch 2003 (Информация относится к Exchange Server 2003 SP2 и устройствам на базе Windows 5.0 с пакетом Messaging и Security Feature Pack) , у меня 2007-й, а на коммуникаторе WM 6

    to Pavel Nagaev: Простите не понял, скриншот чего именно нужно показать?

  • longshot

    [URL=http://radikal.ru/F/i016.radikal.ru/0805/60/66ae55afd478.jpg.html][IMG]http://i016.radikal.ru/0805/60/66ae55afd478t.jpg[/IMG][/URL]

  • http://www.samarasoft.ru Oleg Krylov

    Ну вот так 🙂 Я все еще живу в прошлом. Exchange 2007 в глаза не видел, только в планах его освоение.

  • longshot

    До этого я использовал MDaemon, теперь задача от начальства поступила перейти на Exchange, очень им понравилась тема про Direct Push.

  • longshot
  • http://www.samarasoft.ru Oleg Krylov

    Хорошая штука. Удавалось пару реализовать в Exchange 2003. Много нюансов. Насколько помню, вообще у нас в компании было сделано до меня на 2007. Вроде по описаниям сложностей меньше, кроме запихивания сертификата в корневые на устройство.

  • longshot

    to Pavel Nagaev:
    HELP! млин, хотел вернуть всё на место, теперь не работает OWA, пишет The page cannot be found, как можно восстановить OWA

  • longshot

    восстановил OWA, работает

  • http://www.exchangerus.ru Pavel Nagaev

    Есть такое правило — проверять все на виртуалках сначала 🙂

  • longshot

    Принял, теперь буду! А насчёт ссылки на установку сертификата можно подробнее? Заранее благодарю

  • http://www.exchangerus.ru Pavel Nagaev

    Это вопрос кому?

  • http://www.samarasoft.ru Oleg Krylov

    Павел, наверное Вам 🙂 Видимо имеется ввиду вот это:
    Я решил сделать универсальный способ. Для этого нужно сделать одно место для скачивания сертификата. Поэтому я сделал ссылку на главной страничке OWA “Install certificate”, указывающую на корневой сертификат: http://server.mydomain.ru/my-root-cert.cer, чтобы файл можно было скачивать по Интернету.

  • longshot

    to Pavel Nagaev: Это вопрос вам, если у вас работает, значит я что-то упустил, поэтому и хотел узнать более подробно (шаг-за-шагом). Если конечно у вас есть на это время и желание. Заранее спасибо!

  • http://www.exchangerus.ru Pavel Nagaev

    Я уже давно пришел к мнению, что мои посты не всегда понятны людям и нужно писать пошаговые инструкции. Учту на будущее.

    С этим желания возиться нет.

    Почитайте эти ссылки про кастомизацию OWA, это поросто.
    http://www.google.ru/search?complete=1&hl=ru&newwindow=1&q=exchange+2003+customize+owa+logon+page&lr=&aq=f

  • longshot

    to Pavel Nagaev: Спасибо за ссылки, мне понравилось, в корпоративном стиле разукрашу и свой OWA. Но с сертификатом я уже разобрался и решил проблему….УРА!

    Купил вот тут http://www.digicert.com :-))

  • http://www.samarasoft.ru Oleg Krylov

    Решение в корне отличающееся от темы статьи :-)) Самым сладким моментом было именно использование собственных БЕСПЛАТНЫХ сертификатов…

  • http://www.samarasoft.ru Oleg Krylov

    To Pavel Nagaev: А кстати при установке сертификата на мобильное устройство, они почему-то, ставятся в хранилище промежуточных. Я у себя сделал вот так: http://www.microsoft.com/rus/technet/itsolutions/mobile/deploy/msfp_b.mspx и опубликовал ссылку именно на CAB-файл. И вот тогда они встали на место, т.е. в хранилище корневых.
    Есть еще один способ, но нужно вызывать командную строку на устройстве. А это не на всех моделях возможно.

  • http://www.exchangerus.ru Pavel Nagaev

    Cab на Nokia встанет?

  • http://www.samarasoft.ru Oleg Krylov

    Упс!))) Не пробовал. У меня все на WM6.

  • http://www.exchangerus.ru Pavel Nagaev

    Я не проверял кабы, но мне кажется, что Nokia этого не поймет, но у нас таких телефонов много и нужен универсальный метод.

  • http://www.samarasoft.ru Oleg Krylov

    В таком случае можно создать две ссылки: для клентов, использующих WM и для остальных. Но тема с CAB на Nokia зажгла)))) Скачаю SDK, попробую на эмуляторе. В принципе CAB похож на ZIP, только содержит еще и сведения для установки. Там просто путь на CertificateStore=ROOT. Основным критерием работоспособности будет возможность чтения XML на Symbian. Если понимает, значит заработает.
     Но не воспринимайте это как совет или что-то подобное. Это просто мысли вслух 🙂

  • Георгий Соколов

    Друзья, поверьте, не могу въехать — куда размещать этот сертификат с расширением .cer для Mail for Exchange в телефоне  Nokia N82, чтоб он соединялся по https ? Помогите , пжлст.

  • http://www.exchangerus.ru Pavel Nagaev

    Открываете ссылку на телефоне, оно распознает, что это сертификат и предложит установить его в хранилище сертификатов.

  • Георгий Соколов

    To Pavel Nagaev:
    Искенне благодарю. Всё чудно забегало.