Hướng dẫn-ShareInternet ISA2004-phần 6-Secure ServerPublishing
Tham khảo tài liệu 'hướng dẫn-shareinternet isa2004-phần 6-secure serverpublishing', công nghệ thông tin, chứng chỉ quốc tế phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
SECURE SERVER PUBLISHING
I. GIỚI THIỆU:
Bài Lab dùng 3 máy:
- ISA server (PC lẻ) : Bản ghost P1
- DC (PC chẵn) : Bản ghost P3_EX1
- Client : Bản ghost P4
Bài Lab gồm những nội dung chính:
1. Chuẩn bị hệ thống
2. Publish DNS server
3. Publish Secure Web server
4. Publish Secure Outlook Web Access
II. THỰC HIỆN:
Qui ước: P: số phòng. X: số máy ISA (PC lẻ). Y: số máy DC (PC chẵn). Z: số máy Client
Chú ý: Điều chỉnh lại IP của các máy theo bảng sau:
INTERFACE
Thông số LAN CROSS
PC
IP / S.M. 192.168.P.X / 24 172.16.X.1 / 24
ISA Default Gateway 192.168.P.200 -
Preferred DNS server - 172.16.X.2
IP / S.M. 172.16.X.2 / 24
DC Default Gateway Disable 172.16.X.1
Preferred DNS server 172.16.X.2
IP / S.M. 192.168.P.Z / 24
ISA Default Gateway 192.168.P.200 Disable
Preferred DNS server 192.168.P.X
1. Chuẩn bị hệ thống: Tương tự phần 1 của bài Server Publishing
2. Publish DNS Server: Tương tự phần 2 của bài Server Publishing
B1 Xây dựng External DNS
server (thực hiện trên máy
ISA)
- Cài service DNS.
- Điều chỉnh để DNS
service chỉ lắng nghe
trên interface CROSS
- Tạo host:
www.domY.com,
chỉ về IP
192.168.P.X.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 45
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B2 Tạo rule Publish DNS (thực hiện trên máy ISA)
3. Publish Secure Web Server:
B1 Tạo alias www.domY.com (thực hiện trên máy DC) B2 Xây dựng trang web default (thực
hiện trên máy DC)
B3 Xây dựng Certification Authority Server: Cài Enterprise Root CA. Common name: CA DomY (thực hiện
trên máy DC, tham khảo Lab 70-299)
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 46
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B4 Xin certificate cho Web server (thực hiện trên
máy DC)
- Start Programs > Administrative Tools - Trong hộp thoại Default Web Site Properties
Internet Information Services. tab Directory Security Server
- Trong cửa sổ Internet Information Services Certificate.
Click phải Default Web Site Properties.
- Màn hình Welcome Next
- Hộp thoại Server Certificate chọn Create
a new certificate Next
- Hộp thoại Delayed or Immediate Request
chọn Send the request immediately…
Next
- Hộp thoại Name and Security Settings
giữ nguyên thông số mặc định Next.
- Hộp thoại Organization Information nhập
Organization name và Organization unit
name Next.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 47
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
- Hộp thoại Your Site’s Common Name
nhập Common Name: www.domY.com
- Hộp thoại Geographical Information chọn Country/Region và nhập thông tin City/Locality
Next
- Hộp thoại SSL Port giữ nguyên thông số port 443 mặc định Next.
- Hộp thoại Choose a Certification Authority giữ nguyên thông số mặc định Next.
- Hộp thoại Certification Request Submission Next Finish.
B5 Kiểm tra hoạt động của trang B6 Share certificate của root CA (thực hiện trên máy DC):
secure web default (thực hiện trên - Trên ổ đĩa G, tạo thư mục SharedCert.
máy DC): Trong chương trình Internet - Share thư mục SharedCert.
Explorer, nhập địa chỉ: - Copy file certtificate của Enterprise root CA từ thư mục
HTTPS://www.domY.com gốc ổ đĩa G vào thư mục SharedCert
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 48
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B7 Import certificate của Enterprise root CA vào - Start Run mmc
Trusted root CA của ISA server (thực hiện trên - Trong console1 Add snap-in “Certificate” >
ISA server) chọn “Computer account” (local computer)
- Map thư mục SharedCert thành ổ đĩa Z - Console1 Trusted Root Certification
của ISA server Authority Click phải Certificates All tasks
Import
- Hộp thoại File to Import Browse về ổ
đĩa Z chọn certificate của Enterprise
root CA Next Next OK
B8 Điều chỉnh system rule để ISA - Hộp thoại System Policy Editor trong khung
server có thể truy cập trang web của Configuration Groups chọn Allow Sites chọn tab To
domY.com. chọn System Policy Allow Sites Edit
- Trong cửa sổ ISA server
Management Click phải
lên Firewall Policy Edit
System Policy
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 49
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
- Hộp thoại System Policy Allow Sites New
Nhập vào giá trị: “ *.domY.com ” OK
OK
- Trong cửa sổ ISA server Management
Apply OK
B9 Xin certificate cho ISA server (thực hiện trên máy ISA)
- Khai báo http://www.domY.com vào Trusted Sites:
Trong chương trình Intenet Explorer menu Tool
Internet Options tab Securuty chọn Trusted
Sites Sites trong khung “Add this Web site to
the zone” nhập: http:// www.domY.com Add
Close OK
- Trong chương trình Intenet Explorer nhập URL: http://www.domY.com/CERTSRV Request a
certificate advanced certificate request Create and submit a request to this CA Khai báo
các thông số:
• Certificate template: Web Server
• Name: www.domY.com
• Check “Store certificate in the local computer certificate store”
- Submit và Install certificate.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 50
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B10 Tạo Secure Web Listener (trên máy ISA) - Hộp thoại Welcome Đặt tên: “HTTPS
Listener” Next
- Hộp thoại IP Addresses đánh dấu chọn
External network Next
- Hộp thoại Port Specification Bỏ dấu
chọn Enable HTTP port 80 Chọn Enable
SLL port 443 Select
- Hộp thoại Select Certificate chọn
certificate www.domY.com OK
- Quay về Hộp thoại Port Specification
Next
- Hộp thoại Completing… Finish Cửa sổ ISA Server Management Apply OK
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 51
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B11 Tạo rule publish secure web - Hộp thoại Welcome Đặt tên: “Publish
Secure Web” Next
- Hộp thoại Publishing Mode chọn SSL
Bridging Next
- Hộp thoại Select Rule Action chọn Allow - Hộp thoại Bridging Mode chọn “Secure
Next connection to clients and Web server”
- Hộp thoại Define Website to Publish - Hộp thoại Publish Name Details Nhập
nhập Computername “www.domY.com” Public Name: “www.domY.com” Next
Next
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 52
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
- Hộp thoại Select web listener chọn
HTTPS Listener Next
- Hộp thoại User sets giữ nguyên set “All
Users” Next
- Hộp thoại Completing the New SSL Web
Publishing Rule Wizard Finish
- Trên cửa sổ ISA Server Management
Apply OK
B12 Kiểm tra hoạt động (thực hiện trên máy Client): Trong chương trình Internet Explorer, nhập URL:
HTTPS://WWW.DOMY.COM Yes.
4. Publish Secure Outlook Web Access:
B1 Bổ sung dữ liệu
External DNS server
(thực hiện trên máy
ISA):
Tạo host:
smail.domY.com
chỉ về IP
192.168.P.X.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 53
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B2 Bổ sung dữ liệu
Internal DNS server
(thực hiện trên máy
DC):
Tạo alias:
smail.domY.com
chỉ về host
pcY.domY.com.
B3 Xin certificate cho Exchange mail server (thực hiện trên máy DC):
• Remove certificate cũ:
- Start Programs > Administrative Tools
Internet Information Services.
- Trong cửa sổ Internet Information Services Click
phải Default Web Site Properties.
- Trong hộp thoại Default Web Site Properties tab
Directory Security Server Certificate
- Màn hình Welcome Next
- Hộp thoại Server Certificate chọn Remove the
current certificate Next Finish
• Xin certificate:
- Trong hộp thoại Default Web Site
Properties tab Directory Security
Server Certificate
- Màn hình Welcome Next
- Hộp thoại Server Certificate chọn
Create a new certificate Next
- Hộp thoại Delayed or Immediate Request - Hộp thoại Organization Information nhập
chọn Send the request immediately… Organization name và Organization unit name
Next Next.
- Hộp thoại Your Site’s Common Name nhập
Common Name: smail.domY.com
- Hộp thoại Name and Security Settings
giữ nguyên thông số mặc định Next.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 54
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
- Hộp thoại Geographical Information chọn Country/Region và nhập thông tin City/Locality
Next
- Hộp thoại SSL Port giữ nguyên thông số port 443 mặc định Next.
- Hộp thoại Choose a Certification Authority giữ nguyên thông số mặc định Next.
- Hộp thoại Certification Request Submission Next Finish.
B4 Cấu hình các virtual directory của Exchange server:
- Start Programs > Administrative Tools Internet Information Services.
- Trong cửa sổ Internet Information Services Web Sites Default Web Site.
• Exchange virtual directory:
- Click phải vào Exchange - Hộp thoại Exchange Properties tab Directory
Properties Security mục Secure Communications Edit
- Hộp thoại Secure Communications
check vào option Require Secure
Channel (SSL) OK OK
• ExchWeb virtual directory:
- Click phải vào ExchWeb Properties
- Hộp thoại ExchWeb Properties tab Directory Security mục Secure Communications Edit
- Hộp thoại Secure Communications check vào option Require Secure Channel (SSL)
• Public virtual directory:
- Click phải vào Public Properties
- Hộp thoại Public Properties tab Directory Security mục Secure Communications Edit
- Hộp thoại Secure Communications check vào option Require Secure Channel (SSL)
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 55
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B5 Xin certificate cho ISA server (thực hiện trên máy ISA):Trong chương trình Intenet Explorer nhập
URL: http://pcY.domY.com/CERTSRV Request a certificate advanced certificate request Create
and submit a request to this CA Khai báo các thông số:
• Certificate template: Web Server
• Name: smail.domY.com
• Check “Store certificate in the local computer certificate store”
- Submit và Install certificate.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 56
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B6 Điều chỉnh HTTPS Listener
- Trên cửa sổ ISA Server Management - Hộp thoại HTTPS Listener Properties tab
Properties của HTTPS Listener Preferences Select
- Hộp thoại Select Certificate chọn
certificate Issued To smail.domY.com
OK OK
- Trên cửa sổ ISA Server Management
Apply OK
B7 Tạo rule publish Secure Outlook Web Access (thực hiện trên máy ISA)
- Hộp thoại Welcome Đặt tên: “Publish
Secure OWA” Next
- Hộp thoại Select Access Type chọn Web
client access: Outlook Web Access (OWA),
Outlook Mobile… Next
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 57
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
- Hộp thoại Select Service chọn Outlook
Web Access Next
- Hộp thoại Bridging Mode chọn Secure
connections to clients and mail server
Next
- Hộp thoại Specify the Web Mail Server - Hộp thoại Public Name Details Nhập
nhập vào smail.domY.com Next public name smail.domY.com Next
- Hộp thoại Select Web Listener chọn
HTTPS Listener Next
- Hộp thoại User Sets Giữ nguyên thông số
mặc định All Users Next
- Hộp thoại Completing the New Mail Server
Publishing Rule Wizard Finish.
- Để user có thể gửi mail ra ngoài, tạo thêm 02 access rule:
Rule Name : “DNS Outbound” Rule Name : “SMTP Outbound”
Action : Allow Action : Allow
Protocol : DNS Protocol : SMTP
Rule source : Internal Rule source : Internal
Rule destination : External Rule destination : External
User sets : All Users User sets : All Users
- Trên cửa sổ ISA Server Management Apply OK
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 58
Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B8 Kiểm tra hoạt động (thực hiện trên máy Client):
Dùng chương trình Internet Explorer truy cập địa chỉ HTTPS://smail.domY.com/exchange. Gửi mail cho
[email protected] để kiểm tra.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 59