Giải quyết các phát sinh khi đổi certificate mặc định của Exchange server 2007

DẪN NHẬP

Quá trình cài đặt Exchange Server 2007 sẽ phát sinh 01 self-signed certificate trên Client Access Server (CAS). Certificate này được cấp phát bởi NetBIOS name của CAS và cấp phát cho NetBIOS name của CAS với thời hiệu chỉ là 01 năm.
Ví dụ khi CAS có FQDN là DC.NhatNghe.local thì certificate sẽ được cấp phát bởi "DC" và cấp phát cho "DC".

Self-signed certifcate này được gán cho Default Web Site trên CAS để triển khai giao tiếp SSL của CAS với client.

Xin liệt kê 04 giao tiếp chủ yếu:
- Giao tiếp 1: Cơ chế AutoDiscover và quá trình download Offline Address Book của MS Outlook client
- Giao tiếp 2: Outlook Web Access
- Giao tiếp 3: RPC over HTTPS (Outlook Anywhere)
- Giao tiếp 4: Internet client check mail POP3S

Certificate self-signed này đương nhiên sẽ không thể được tin cậy (trust) bởi bất cứ ứng dụng nào, từ đó nảy sinh nhu cầu gán 01 certificate khác để tránh cho người dùng những phiền toái trong quá trình truy cập mailbox.

Điều khó chịu là người dùng sẽ liên tục gặp các cảnh báo bảo mật nếu certificate mới có common name (giá trị "issued to") khác với FQDN (Fully Qualified Domain Name) của CAS. Các giao tiếp diễn tiến trôi chảy khi và chỉ khi certificate mới có common name trùng với FQDN của CAS.

Một trong những điều kiện tiên quyết để giao tiếp SSL có thể diễn ra là tên mà client dùng truy cập phải trùng với common name trên certificate của server. Ngoại trừ giao tiếp 1, 03 giao tiếp còn lại chủ yếu phục vụ internet client, nghĩa là client phải dùng public name. Vậy khi public name khác với FQDN của CAS (tình huống rất phổ biến, ví dụ public name là Mail.NhatNghe.com và FQDN là DC.NhatNghe.local) thì chuyện gì sẽ xảy ra?

Bài viết này hướng đến mục tiêu thay đổi certificate mặc định của Exchange và điều chỉnh cấu hình để có thể triển khai cả 4 loại giao tiếp vừa nêu trên. Các bước chủ yếu:
- Gán cho CAS 01 certificate có common name trùng public name.
- Điều chỉnh một số thông số cấu hình Exchange để tránh các thông báo lỗi và có thể download OAB.
- Bổ sung dữ liệu DNS để phân giải public name ra private IP address của CAS.
- Thực hiện một số động tác kiểm tra kết quả.

TÌNH HUỐNG

Doanh nghiệp có public host name là Mail.NhatNghe.com

03 role Hub Transport, Client Access và Mailbox được cài trên server có FQDN là DC.NhatNghe.local, thuộc internal domain NhatNghe.local.

TRIỂN KHAI

1. Khảo sát cấu hình mặc định

Xem certficate trên CAS:
- Trên console Internet Information Service (IIS), gọi properties của Default Web Site

- Chọn View certificate

User check mail dùng:
- MS Outlook:

- OWA: Dùng URL https://Dc/OWA và gặp cảnh báo "CA không được trust"

2. Gán cho Default Web Site 01 certificate có common name trùng public host name
(bài viết này chọn phương án xin certificate trial từ Verisign, có thể tham khảo tại đây: http://nhatnghe.com/forum/showthread.php?t=24899)

Remove certificate mặc định

Xin certificate từ Verisign và gán cho Default Web Site (common name: Mail.NhatNghe.com)

Tạo zone và host cần thiết để internal client có thể phân giải tên Mail.NhatNghe.com

3. Khảo sát hoạt động của cấu hình mới

User check mail dùng:
- MS Outlook: Gặp cảnh báo, chọn View Certificate

Chọn OK và Yes để tiếp tục, lại gặp cảnh báo

Chọn Yes để tiếp tục

- OWA: Dùng URL https://Mail.NhatNghe.com/OWA

4. Đổi URL của Offline Address Book Distribution point:

Exchange Management Console: Server Configuration > Client Access > tab Offline Address Book Distribution > Click phải OAB > Properties

Khai báo Internal URL = External URL = https://Mail.NhatNghe.com/OAB > OK

5. Đổi URL của Outlook Web Access

Exchange Management Console: Server Configuration > Client Access > tab Outlook Web Access > Click phải OWA > Properties

Khai báo Internal URL = External URL = https://Mail.NhatNghe.com/OWA > OK

6. Đổi URL của các service tương tự Out of Office:

Exchange Management Shell:
Set-WebServicesVirtualDirectory –Identity "EWS*” –InternalURL https://Mail.NhatNghe.com/EWS/Exchange.asmx -ExternalURL https://Mail.NhatNghe.com/EWS/Exchange.asmx

7. Đổi URL của AutoDiscover

Exchange Management Shell:
Set-ClientAccessServer –Identity DC –AutoDiscoverServiceInternalUri https://Mail.NhatNghe.com/AutoDiscover/AutoDiscover.xml
Đối số của -Identity là tên NetBIOS của CAS. Ví dụ trong bài, tên của CAS là DC

8. Bổ sung dữ liệu DNS

- Tạo forward lookup zone

Loại primary

Tên zone: AutoDiscover.NhatNghe.com

- Trong zone AutoDiscover.NhatNghe.com, tạo alias

Bí danh để trống > chọn Browse

Chọn host Mail thuộc domain NhatNghe.com

Kết quả

- Đóng mọi ứng dụng và khởi động lại server.

(Làm sao để kiểm tra kết quả? Xin xem hồi sau sẽ rõ)


thay đổi nội dung bởi: Mr.Hieu, 21-05-2009 lúc 01:24
 
Đã có 3 người gửi lời cảm ơn lmh vì bài viết hữu ích này:
covua, daisutaytang, gadaubac

Sponsored links

  #2
Old 01-09-2008, 09:56
lmh lmh vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Aug 2006
Bài gởi: 879
Thanks: 27
Thanked 411 Times in 88 Posts
 
Ðề: Giải quyết các phát sinh khi đổi certificate mặc định của Exchange server 200

GIẢI QUYẾT CÁC VẤN ĐỀ PHÁT SINH KHI ĐỔI CERTIFICATE MẶC ĐỊNH CỦA EXCHANGE SERVER 2007
(Phần tiếp theo)

9. Điều chỉnh Default e-mail address policy để đổi địa chỉ e-mail của mọi recipients thành Alias@NhatNghe.com

10. Kiểm tra:

User check mail MS Outlook: không còn bị báo lỗi
Kiểm tra các URL:
- Giữ phím CTRL + Click phải biểu tượng MS Outlook trên System Tray > chọn Test E-mail AutoConfiguration

- Khai báo password > chọn nút Test

- Kết quả

Lưu ý: vỉ không triển khai Unified Messaging Server (UMS) nên trong các bước trên, không cần điều chỉnh URL của UMS

11. Gán certificate cho service POP & SMTP

- Kiểm tra: Exchange Management Shell: Get-ExchangeCertificate

- Copy thumbprint của cert Mail.NhatNghe.com:
Click phài màn hình > chọn Mark
Kéo trỏ chuột trên chuỗi thumbprint để chọn > Enter

- Gán certificate: Exchange Management Shell:
Enable-ExchangeCertificate -Thumbprint {click phải > chọn Paste để dán chuỗi thumbprint} -Services "POP, SMTP"

12. Điều chỉnh service POP3

- Exchange Management Shell: Set-POPSettings -LoginType PlainTextLogIn

- Kích hoạt service POP3

13. User cấu hình Outlook Express gửi và nhận mail dùng SMTPS và POPS

14. Khi triển khai Outlook Anywhere:

Đương nhiên Admin phải khai báo External Host name là Mail.NhatNghe.com.
Khi người dùng cấu hình Outlook Anywhere trong LAN:
- Người đã có profile MS Outlook: Khai báo RPC server: Mail.NhatNghe.com.
- Người dùng mới: MS Outlook sẽ tự nhận RPC server: Mail.NhatNghe.com.