使用ISA 2004发布OWA 2003站点

译自Thomas W Shinder，Publishing OWA Sites using ISA Firewall Web Publishing Rules (2004) 
　 
远程用户可以通过HTTP协议来使用OWA（Outlook Web Access）连接到你的Exchange服务器上。安全的Exchange的RPC发布比OWA具有更高的安全性，完善的第7层过滤器对于远程的Outlook 
MAPI客户和Exchange服务器之间提供了安全的连接。但是，许多在常规的包过滤防火墙后的客户被禁止访问外部网络的MAPI，因为这些包过滤防火墙缺乏和ISA防火墙的第7层的过滤。 
OWA站点发布提供了一个完美的的办法，通过ISA防火墙的OWA发布，你可以让你的远程客户安全的访问你的Exchange服务器OWA站点。确认远程用户和OWA Web站点之间进行安全连接的技术有： 

• 在OWA客户和ISA防火墙之间的SSL连接； 
• 在ISA防火墙和OWA站点间的SSL连接； 
• 强加于OWA目录的客户证书，它要求ISA防火墙（或者其他主机）在连接到OWA Web站点目录时先出示一个客户证书； 
• ISA防火墙Web发布策略上的用户访问许可要求远程OWA客户出示用户证书，否则ISA防火墙不会转发信息到OWA Web站点；（注：可以使用所有用户来将它忽略掉，在此例就是） 
• OWA基于表单的认证允许ISA防火墙产生登录表单，这样阻止没有经过认证的连接到达OWA站点。 
• 基本身份验证确保ISA防火墙预认证用户，阻止没有没有经过认证的主机发送单个数据包到达OWA Web站点。 
• 微软企业CA允许基于证书来控制所有的访问，这样可以没有从未经验证的主机发起访问的危险。并且访问和会话由ISA防火墙来控制提供了更高的安全性。 

在这篇文章中，我们将安装以下步骤来实现内部OWA Web站点的发布： 

• 为OWA Web站点发布和绑定一个Web站点证书； 
• 将OWA Web站点的证书导出到一个文件中（包含站点的私钥）； 
• 配置OWA站点强制使用SSL加密和基本身份认证； 
• 将OWA Web站点的证书导入到ISA防火墙计算机中； 
• 运行OWA发布向导，在HOSTS文件中为OWA Web站点地址建立对应项； 
• 在进入的Web请求侦听器上要求客户证书（可选）； 
• 配置公众的DNS服务器解析OWA站点的域名； 
• 发布证书权威的Web注册站点； 
• 在OWA客户上安装证书权威； 
• 在OWA客户计算机的HOSTS文件中建立对应项； 
• 建立到OWA Web站点的连接； 

下图为这篇文章中的试验环境： 
                       
为了执行SSL到SSL的桥接，ISA防火墙必须建立两个SSL连接： 

• 第一个是在OWA客户和ISA防火墙之间； 
• 第二个是在ISA防火墙和内部的OWA Web站点之间； 

为了实现ISA防火墙和OWA Web站点之间的SSL连接，我们必须为OWA Web站点请求一个Web服务器证书，并且绑定此证书。 
执行以下步骤来为OWA Web站点请求Web服务器证书： 

1. 在EXCHANGE2003BE计算机上，点击Start，然后指向Administrative Tools，点击Internet Information Services (IIS) Manager； 
2. 在Internet Information Services (IIS) Manager控制台的左面板，展开Web Sites节点，然后点击Default Web Site，右击Default Web Site，然后点击Properties； 
3. 在Default Web Site Properties对话框，点击Directory Security标签； 
4. 在Directory Security标签，点击Secure communications下的Server Certificate按钮； 
5. 在Welcome to the Web Server Certificate Wizard页，点击Next； 
6. 在Server Certificate页，选择Create a new certificate 选项，然后点击Next； 
7. 在Delayed or Immediate Request 页，选择Send the request immediately to an online certificate authority选项，然后点击Next； 
8. 在Name and Security Settings页，接受默认设置，然后点击Next； 
9. 在Organization Information页，在Organization和Organizational Unit文本框中输入输入你组织名和组织单元名，点击Next； 
10. 在Your Site's Common Name页，输入站点的公共名字，这个公共名字将被内部和外部的用户用来访问这个站点。例如，如果用户使用https://owa.msfirewall.org来访问这个OWA站点，那么站点的公共名字就是owa.msfirewall.org。在此例中，我们输入owa.msfirewall.org。这是一个很重要的设置，如果你没有输入正确的公共名字，在连接OWA站点时会出现错误。点击Next； 
 
11. 在Geographical Information页，输入你的Country/Region、State/province 和City/locality，点击Next； 
12. 在SSL Port页，接受默认的值443，点击Next； 
13. 在Choose a Certification Authority页，接受默认的选择，然后点击Next； 
14. 在Certificate Request Submission页检查设置，然后点击Next； 
15. 在Completing the Web Server Certificate Wizard页点击Finish； 
16. 注意，此时View Certificate按钮已经可用，这表明Web站点的证书已经绑定到了OWA Web站点，并且可以用于强制SSL连接了。 
17. 在Default Web Site Properties对话框点击OK。 
 
将OWA Web站点的证书导出到一个文件中（包含站点的私钥）


当OWA客户在它和ISA防火墙间建立第一个SSL连接时，ISA防火墙模拟OWA Web站点。为了让ISA防火墙做到这点，你必须导出OWA Web站点的证书，导入到ISA防火墙计算机的证书存储中。当你导出证书时，导出Web站点的私钥是非常重要的。如果没有导出私钥，那么你将不能绑定证书到ISA防火墙的Web侦听器上。 
执行以下步骤以导出Web站点的证书和私钥到一个文件中： 

1. 在Internet Information Services (IIS) Manager控制台，展开Web Sites，然后点击Default Web Site，右击Default Web Site，然后点击Properties； 
2. 在Default Web Site Properties对话框，点击Directory Security 标签； 
3. 在Directory Security标签，点击View Certificate按钮； 
4. 在Certificate对话框，点击Details标签，在Details标签，点击Copy to File按钮； 
5. 在Welcome to the Certificate Export Wizard 页，点击Next； 
6. 在Export Private Key页，选择Yes, export the private key，然后点击Next；

7. 在Export File Format页，选择Personal Information Exchange PKCS #12 (.PFX)选项，勾选Include all certificates in the certification path if possible ，然后取消勾选Enable strong protection (requires IE 5.0, NT 4.0 SP4 or above) ，点击Next； 
8. 在Password页，输入并确认密码，点击Next； 
9. 在File to Export页，在File name文本框中输入输入c:\owacert，点击Next； 
10. 在Completing the Certificate Export Wizard页点击Finish； 
11. 在Certificate对话框中点击OK； 
12. 在Default Web Site Properties对话框中点击OK； 
13. 把owacert.pfx 从C:\复制到ISA防火墙计算机上； 
, ,