Bu yazımızda Local networkumuzdaki bir Exchange 2003 üzerindeki OWA nın bir Back-end ve bir Front-end ISA üzerinden sertifikalı olarak Publish edilmesine deÄŸineceÄŸiz. Ä°lk olarak External Client Frontend ISA ya Front-end ISA dan Back-end ISA ya oradan da Exchange tarafındaki OWA site a ulaÅŸacak. Bu iÅŸlem esnasında SSL li iletiÅŸim kullanılmasını saÄŸlamak için aÅŸağıdaki iÅŸlemleri gerçekleÅŸtirmeye baÅŸlayalım.

Not: Konu üç bölüm halinde yayınlanacaktır.

Åžekil-1

Tablo-1

1. Dc.aydine.local üzerinde IIS i açalım.

2. AÅŸağıdaki bölüme ilerleyelim.

Default Web Site > Properties > Directory Security > Server Certificate > Secure Communications > Welcome to the Web Server Certificate Wizard > Server Certificate > Create a new certificate

Åžekil-2

Åžekil-3

Ä°ç ve dış kullanıcılarımızın eriÅŸecekleri ismi buraya verelim.

Åžekil-4

Sonraki adımlarda kendi ÅŸirket adımızı ve coÄŸrafi adımlarımıza uygun seçenekler ile wizard ı tamamlayalım.

OWA Web Site Sertifikasını Private Key ile Export etmek

Yarattığımız sertifikayı diÄŸer server larda kullanmak için export iÅŸlemini gerçekleÅŸtirelim.

1. Default Web Site > Properties > Directory Security > Server Certificate > Secure Communications > View Certificate > Details > Copy to File şeklinde adımları takip edelim.

Åžekil-5

Åžekil-6

Åžekil-7

Åžekil-8

Åžekil-9

Next dedikten sonra bir ÅŸifre vererek sertifikayı masaüstümüze kayıt edelim.

OWA Site ın SSL Encryption ve Basic Authentication için Konfigurasyonu

OWA klasörleri için aÅŸağıdaki adımlardan sonra basic authentication etkin olacaktır. Bunda korkulacak herhangi bir durum yoktur çünkü kullanıcılar klasörleri üzerinde iÅŸlem yaparken SSL kullanacaklardır. AÅŸağıdaki adımları takip edelim.

1. Start > Administrative Tools > Internet Information Services > Internet Information Services (IIS) Manager > Default Web Site a ulaşalım ve sağ tarafa bakalım.

Owa kullanıcıları aÅŸağıdaki 3 klasör ile etkileÅŸim içindedirler.

/Exchange
/ExchWeb
/Public

2. /Exchange > Properties > Directory Security > Authentication and access control > Edit > Authentication Methods > Basic authentication seçeneÄŸi dışındaki seçenekleri temizleyelim ve bu iÅŸlemi /ExchWeb, /Public klasörleri içinde gerçekleÅŸtirelim.

Åžekil-10

Åžimdi kullanıcılar OWA klasörlerine baÄŸlandıklarında SSL li baÄŸlantıyı force etmek için aÅŸağıdaki adımları gerçekleÅŸtirelim.

1. Start > Administrative Tools > Internet Information Services > Internet Information Services (IIS) Manager > Default Web Site >

/Exchange
/Exchweb
/Public

2. /Exchange > Properties > Directory Security > Secure Communications > Edit > Require secure channel (SSL) ve Require 128-bit encryption kutucuklarını iÅŸaretleyelim > OK. Bu iÅŸlemi /ExchWeb, /Public klasörleri içinde gerçekleÅŸtirelim. Åžekil-10 referans alınabilir.

Åžekil-11

Back-end ISA ya OWA Web Site Sertifikasını İmport Etmek

Hem Front-end ISA ya hemde Back-end ISA ya daha öncesinde yedek aldığımız sertifikayı yükleyelim.

1. Start > mmc > Add > Add/Remove Snap-in > Certificates > Add > Computer account > Local computer: (the computer this console is running on) > Finish

2. Karşımıza gelen pencerede saÄŸ tarafta Personal > All Tasks > Import u seçelim ve Welcome to the Certificate Import Wizard > Password > Mark this key as exportable kutucuÄŸunu boÅŸaltalım çünkü kullandığımız server üzerinden bizim kullandığımız keylerin bir ÅŸekilde dışarı sızması ile security tarafında sorunlar yaÅŸanabilir.

3. Certificate Store sayfasında > Place all certificate in the follow store > Personal > Certificate store > Next > Completing the Certificate Import > Finish.

4. Personal içinde gördüÄŸümüz DC isimli sertifikayı Trusted Root Certification Authorities\Certificates bölümüne copy-paste ÅŸeklinde ekleyelim.

5. Bu import iÅŸleminin aynısını Front-end ISA da gerçekleÅŸtirelim.

Åžekil-12

ISA Server Üzerinde OWA Publishing Ä°çin Host Dosyası Düzenlenmesi

Yapımızda isim çözümlemeleri için DNS kullanmak yerine Lmhost ve Host dosyalarını kullandığımız için bu bölümde Back-end ISA üzerinde bu dosyalara bazı girdiler yapacağız.

1. \WINDOWS\system32\drivers\etc\hosts dosyasını notepad i kullanarak açalım.

2. Local de OWA yı taşıyan Exchange2003 ün IP (10.0.5.60) si için bir kayıt oluÅŸturalım.

10.0.5.60 owa.aydine.local

Åžekil-13

Artık Back-end ISA dan OWA yı publish etmeye hazırız.

1. Microsoft Internet Security and Acceleration Server 2004 > Firewall Policy > Tasks > Publish a Mail Server > Welcome to the New Mail Server Publishing Rule Wizard > Mail Server Publishing Rule name > Select Access Type > Web client access (Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync > Next

Åžekil-14

Åžekil-15

2. Secure connection to client and mail server seçeneÄŸi ile network trafiÄŸinin sniff edilmesi engellenecektir.

Åžekil-16

Åžekil-17

Åžekil-18

1. Select Web Listener sayfasında New e tıklayalım. Web Listener özelliÄŸi ISA 2000 dekiyle aynı yapıda çalışır fakat ISA 2004 te daha fazla seçenekle geliÅŸtirilmiÅŸ bir yapıya sahiptir. Örnek olarak SSL li ve Non-SSL li istekler için aynı IP adresine ayrı Web Listener lar tanımlayabiliriz.

2. Welcome to the New Web Listener Wizard > Web listener name >isim olarak OWA SSL Listener ı kullanacağız > Next > IP Addresses sayfasında External ı işaretleyelim.

3. Address > External Network Listener IP Selection sayfasında > Specified IP addresses on the ISA Server computer in the select network u iÅŸaretleyerek Back-end ISA nin external IP (172.16.5.50) sini seçeceÄŸiz.

4. Next > IP Addresses > Port Specification sayfasında Enable HTTP kutucuğunu boşaltalım ve Enable SSL kutucuğunu işaretleyelim. SSL port numarasını 443 te bırakalım.

5. Select > Select Certificate > diyerek listeye gelen sertifikayı seçelim. Bu bölüme sertifikanın gelmemesinin sebeplerinden bir tanesi oluÅŸturduÄŸumuz sertifikanın Private Key i taşımaması olabilir.

Åžekil-19

6. Next > Finish diyerek iÅŸlemi bitirelim, aÅŸağıdaki gibi bir pencerenin önümüzde görüntülendiÄŸini göreceÄŸiz.

Åžekil-20

7. Next > Select Web Listener > All Users > Next > Finish.