Giải quyết các phát sinh khi đổi certificate mặc định của Exchange server 2007

Giải quyết các phát sinh khi đổi certificate mặc định của Exchange server 2007

DẪN NHẬP

Quá trình cài đặt Exchange Server 2007 sẽ phát sinh 01 self-signed certificate trên Client Access Server (CAS). Certificate này được cấp phát bởi NetBIOS name của CAS và cấp phát cho NetBIOS name của CAS với thời hiệu chỉ là 01 năm.

Ví dụ khi CAS có FQDN là DC.NhatNghe.local thì certificate sẽ được cấp phát bởi "DC" và cấp phát cho "DC".

Self-signed certifcate này được gán cho Default Web Site trên CAS để triển khai giao tiếp SSL của CAS với client.

Xin liệt kê 04 giao tiếp chủ yếu:

  • - Giao tiếp 1: Cơ chế AutoDiscover và quá trình download Offline Address Book của MS Outlook client
  • - Giao tiếp 2: Outlook Web Access
  • - Giao tiếp 3: RPC over HTTPS (Outlook Anywhere)
  • - Giao tiếp 4: Internet client check mail POP3S

Certificate self-signed này đương nhiên sẽ không thể được tin cậy (trust) bởi bất cứ ứng dụng nào, từ đó nảy sinh nhu cầu gán 01 certificate khác để tránh cho người dùng những phiền toái trong quá trình truy cập mailbox.

Điều khó chịu là người dùng sẽ liên tục gặp các cảnh báo bảo mật nếu certificate mới có common name (giá trị "issued to") khác với FQDN (Fully Qualified Domain Name) của CAS. Các giao tiếp diễn tiến trôi chảy khi và chỉ khi certificate mới có common name trùng với FQDN của CAS.

Một trong những điều kiện tiên quyết để giao tiếp SSL có thể diễn ra là tên mà client dùng truy cập phải trùng với common name trên certificate của server. Ngoại trừ giao tiếp 1, 03 giao tiếp còn lại chủ yếu phục vụ internet client, nghĩa là client phải dùng public name. Vậy khi public name khác với FQDN của CAS (tình huống rất phổ biến, ví dụ public name là Mail.NhatNghe.com và FQDN là DC.NhatNghe.local) thì chuyện gì sẽ xảy ra?

Bài viết này hướng đến mục tiêu thay đổi certificate mặc định của Exchange và điều chỉnh cấu hình để có thể triển khai cả 4 loại giao tiếp vừa nêu trên. Các bước chủ yếu:

  • - Gán cho CAS 01 certificate có common name trùng public name.
  • - Điều chỉnh một số thông số cấu hình Exchange để tránh các thông báo lỗi và có thể download OAB.
  • - Bổ sung dữ liệu DNS để phân giải public name ra private IP address của CAS.
  • - Thực hiện một số động tác kiểm tra kết quả.

TÌNH HUỐNG

Doanh nghiệp có public host name là Mail.NhatNghe.com

03 role Hub Transport, Client Access và Mailbox được cài trên server có FQDN là DC.NhatNghe.local, thuộc internal domain NhatNghe.local.

TRIỂN KHAI

1. Khảo sát cấu hình mặc định

Xem certficate trên CAS:

- Trên console Internet Information Service (IIS), gọi properties của Default Web Site

- Chọn View certificate

User check mail dùng:

- MS Outlook:

- OWA: Dùng URL https://Dc/OWA và gặp cảnh báo "CA không được trust"

2. Gán cho Default Web Site 01 certificate có common name trùng public host name

(bài viết này chọn phương án xin certificate trial từ Verisign, có thể tham khảo tại đây: http://nhatnghe.com/forum/showthread.php?t=24899)

Remove certificate mặc định

Xin certificate từ Verisign và gán cho Default Web Site (common name: Mail.NhatNghe.com)

Tạo zone và host cần thiết để internal client có thể phân giải tên Mail.NhatNghe.com

3. Khảo sát hoạt động của cấu hình mới

User check mail dùng:

MS Outlook: Gặp cảnh báo, chọn View Certificate

Chọn OK và Yes để tiếp tục, lại gặp cảnh báo

Chọn Yes để tiếp tục

- OWA: Dùng URL https://Mail.NhatNghe.com/OWA

4. Đổi URL của Offline Address Book Distribution point:

Exchange Management Console: Server Configuration > Client Access > tab Offline Address Book Distribution > Click phải OAB > Properties

Khai báo Internal URL = External URL = https://Mail.NhatNghe.com/OAB > OK

5. Đổi URL của Outlook Web Access

Exchange Management Console: Server Configuration > Client Access > tab Outlook Web Access > Click phải OWA > Properties

Khai báo Internal URL = External URL = https://Mail.NhatNghe.com/OWA > OK

6. Đổi URL của các service tương tự Out of Office:

Exchange Management Shell:

Set-WebServicesVirtualDirectory –Identity "EWS*” –InternalURL https://Mail.NhatNghe.com/EWS/Exchange.asmx -ExternalURL https://Mail.NhatNghe.com/EWS/Exchange.asmx

7. Đổi URL của AutoDiscover

Exchange Management Shell:

Set-ClientAccessServer –Identity DC –AutoDiscoverServiceInternalUri https://Mail.NhatNghe.com/AutoDiscover/AutoDiscover.xml

Đối số của -Identity là tên NetBIOS của CAS. Ví dụ trong bài, tên của CAS là DC

8. Bổ sung dữ liệu DNS

Loại primary

Tên zone: AutoDiscover.NhatNghe.com

- Trong zone AutoDiscover.NhatNghe.com, tạo alias

Bí danh để trống > chọn Browse

Chọn host Mail thuộc domain NhatNghe.com

Kết quả

- Đóng mọi ứng dụng và khởi động lại server.

(Làm sao để kiểm tra kết quả? Xin xem hồi sau sẽ rõ)

thay đổi nội dung bởi: Mr.Hieu, 21-05-2009 lúc 01:24

Ðề: Giải quyết các phát sinh khi đổi certificate mặc định của Exchange server 200

GIẢI QUYẾT CÁC VẤN ĐỀ PHÁT SINH KHI ĐỔI CERTIFICATE MẶC ĐỊNH CỦA EXCHANGE SERVER 2007
(Phần tiếp theo)

9. Điều chỉnh Default e-mail address policy để đổi địa chỉ e-mail của mọi recipients thành [email protected]

10. Kiểm tra:

User check mail MS Outlook: không còn bị báo lỗi

Kiểm tra các URL:

- Giữ phím CTRL + Click phải biểu tượng MS Outlook trên System Tray > chọn Test E-mail AutoConfiguration

- Khai báo password > chọn nút Test

- Kết quả

Lưu ý: vỉ không triển khai Unified Messaging Server (UMS) nên trong các bước trên, không cần điều chỉnh URL của UMS

11. Gán certificate cho service POP & SMTP

- Kiểm tra: Exchange Management Shell: Get-ExchangeCertificate

- Copy thumbprint của cert Mail.NhatNghe.com:

Click phài màn hình > chọn Mark

Kéo trỏ chuột trên chuỗi thumbprint để chọn > Enter

- Gán certificate: Exchange Management Shell:

Enable-ExchangeCertificate -Thumbprint {click phải > chọn Paste để dán chuỗi thumbprint} -Services "POP, SMTP"

12. Điều chỉnh service POP3

- Exchange Management Shell: Set-POPSettings -LoginType PlainTextLogIn

- Kích hoạt service POP3

13. User cấu hình Outlook Express gửi và nhận mail dùng SMTPS và POPS

14. Khi triển khai Outlook Anywhere:

Đương nhiên Admin phải khai báo External Host name là Mail.NhatNghe.com.

Khi người dùng cấu hình Outlook Anywhere trong LAN:

- Người đã có profile MS Outlook: Khai báo RPC server: Mail.NhatNghe.com.

- Người dùng mới: MS Outlook sẽ tự nhận RPC server: Mail.NhatNghe.com.

Bạn thấy bài viết này như thế nào?: 
Average: 10 (1 vote)
Ảnh của Tommy Tran

Tommy owner Express Magazine

Drupal Developer having 9+ year experience, implementation and having strong knowledge of technical specifications, workflow development. Ability to perform effectively and efficiently in team and individually. Always enthusiastic and interseted to study new technologies

  • Skype ID: tthanhthuy

Bình luận (0)

 

Add Comment

Filtered HTML

  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Các thẻ HTML được chấp nhận: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Tự động ngắt dòng và đoạn văn.

Plain text

  • No HTML tags allowed.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.

Advertisement

 

jobsora

Dich vu khu trung tphcm

Dich vu diet chuot tphcm

Dich vu diet con trung

Quảng Cáo Bài Viết

 
Drupalgeddon

Drupalgeddon - Thử injection Drupal 7 tại form tạo tài khoản và cái kết

CVE-2018-7600 | Drupal < 7.58 / < 8.3.9 / < 8.4.6 / < 8.5.1 - 'Drupalgeddon2' RCE (SA-CORE-2018-002)

Facebook tích hợp tính năng “Nghe nhạc cùng bạn bè”

Facebook tích hợp tính năng “Nghe nhạc cùng bạn bè”

Mạng xã hội lớn nhất thế giới ngày hôm nay đã công bố ứng dụng “Listen With” cho phép người sử dụng của những dịch vụ cung cấp nhạc như Rdio hay Spotifi có thể cùng nghe một bài hát vào cùng một thời điểm thông qua Facebook.

Giới thiệu tốc độ Drupal website với cloudflare

Giới thiệu tốc độ Drupal website với cloudflare

Cloudflare claims that can boost the speed of a website. But how much benefit can a site get? I am using Cloudflare for some drupal sites

Công ty diệt chuột T&C

 

Diet con trung