Hướng dẫn-ShareInternet ISA2004-phần 6-Secure ServerPublishing

Tham khảo tài liệu 'hướng dẫn-shareinternet isa2004-phần 6-secure serverpublishing', công nghệ thông tin, chứng chỉ quốc tế phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

---

Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  SECURE SERVER PUBLISHING I. GIỚI THIỆU: Bài Lab dùng 3 máy: - ISA server (PC lẻ) : Bản ghost P1 - DC (PC chẵn) : Bản ghost P3_EX1 - Client : Bản ghost P4 Bài Lab gồm những nội dung chính: 1. Chuẩn bị hệ thống 2. Publish DNS server 3. Publish Secure Web server 4. Publish Secure Outlook Web Access II. THỰC HIỆN: Qui ước: P: số phòng. X: số máy ISA (PC lẻ). Y: số máy DC (PC chẵn). Z: số máy Client Chú ý: Điều chỉnh lại IP của các máy theo bảng sau: INTERFACE Thông số LAN CROSS PC IP / S.M. 192.168.P.X / 24 172.16.X.1 / 24 ISA Default Gateway 192.168.P.200 - Preferred DNS server - 172.16.X.2 IP / S.M. 172.16.X.2 / 24 DC Default Gateway Disable 172.16.X.1 Preferred DNS server 172.16.X.2 IP / S.M. 192.168.P.Z / 24 ISA Default Gateway 192.168.P.200 Disable Preferred DNS server 192.168.P.X 1. Chuẩn bị hệ thống: Tương tự phần 1 của bài Server Publishing 2. Publish DNS Server: Tương tự phần 2 của bài Server Publishing B1 Xây dựng External DNS server (thực hiện trên máy ISA) - Cài service DNS. - Điều chỉnh để DNS service chỉ lắng nghe trên interface CROSS - Tạo host: www.domY.com, chỉ về IP 192.168.P.X. Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 45 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  B2 Tạo rule Publish DNS (thực hiện trên máy ISA) 3. Publish Secure Web Server: B1 Tạo alias www.domY.com (thực hiện trên máy DC) B2 Xây dựng trang web default (thực hiện trên máy DC) B3 Xây dựng Certification Authority Server: Cài Enterprise Root CA. Common name: CA DomY (thực hiện trên máy DC, tham khảo Lab 70-299) Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 46 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  B4 Xin certificate cho Web server (thực hiện trên máy DC) - Start  Programs > Administrative Tools  - Trong hộp thoại Default Web Site Properties Internet Information Services.  tab Directory Security  Server - Trong cửa sổ Internet Information Services Certificate.  Click phải Default Web Site  Properties. - Màn hình Welcome  Next - Hộp thoại Server Certificate  chọn Create a new certificate  Next - Hộp thoại Delayed or Immediate Request  chọn Send the request immediately…  Next - Hộp thoại Name and Security Settings  giữ nguyên thông số mặc định  Next. - Hộp thoại Organization Information  nhập Organization name và Organization unit name  Next. Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 47 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  - Hộp thoại Your Site’s Common Name  nhập Common Name: www.domY.com - Hộp thoại Geographical Information  chọn Country/Region và nhập thông tin City/Locality  Next - Hộp thoại SSL Port  giữ nguyên thông số port 443 mặc định  Next. - Hộp thoại Choose a Certification Authority  giữ nguyên thông số mặc định  Next. - Hộp thoại Certification Request Submission  Next  Finish. B5 Kiểm tra hoạt động của trang B6 Share certificate của root CA (thực hiện trên máy DC): secure web default (thực hiện trên - Trên ổ đĩa G, tạo thư mục SharedCert. máy DC): Trong chương trình Internet - Share thư mục SharedCert. Explorer, nhập địa chỉ: - Copy file certtificate của Enterprise root CA từ thư mục HTTPS://www.domY.com gốc ổ đĩa G vào thư mục SharedCert Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 48 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  B7 Import certificate của Enterprise root CA vào - Start  Run  mmc Trusted root CA của ISA server (thực hiện trên - Trong console1  Add snap-in “Certificate” > ISA server) chọn “Computer account” (local computer) - Map thư mục SharedCert thành ổ đĩa Z - Console1  Trusted Root Certification của ISA server Authority  Click phải Certificates  All tasks  Import - Hộp thoại File to Import  Browse về ổ đĩa Z  chọn certificate của Enterprise root CA  Next  Next  OK B8 Điều chỉnh system rule để ISA - Hộp thoại System Policy Editor  trong khung server có thể truy cập trang web của Configuration Groups  chọn Allow Sites  chọn tab To domY.com.  chọn System Policy Allow Sites  Edit - Trong cửa sổ ISA server Management  Click phải lên Firewall Policy  Edit System Policy Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 49 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  - Hộp thoại System Policy Allow Sites  New  Nhập vào giá trị: “ *.domY.com ”  OK OK - Trong cửa sổ ISA server Management  Apply  OK B9 Xin certificate cho ISA server (thực hiện trên máy ISA) - Khai báo http://www.domY.com vào Trusted Sites: Trong chương trình Intenet Explorer  menu Tool  Internet Options  tab Securuty  chọn Trusted Sites  Sites  trong khung “Add this Web site to the zone” nhập: http:// www.domY.com  Add  Close  OK - Trong chương trình Intenet Explorer  nhập URL: http://www.domY.com/CERTSRV  Request a certificate  advanced certificate request  Create and submit a request to this CA  Khai báo các thông số: • Certificate template: Web Server • Name: www.domY.com • Check “Store certificate in the local computer certificate store” - Submit và Install certificate. Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 50 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  B10 Tạo Secure Web Listener (trên máy ISA) - Hộp thoại Welcome  Đặt tên: “HTTPS Listener”  Next - Hộp thoại IP Addresses  đánh dấu chọn External network Next - Hộp thoại Port Specification  Bỏ dấu chọn Enable HTTP port 80  Chọn Enable SLL port 443  Select - Hộp thoại Select Certificate  chọn certificate www.domY.com  OK - Quay về Hộp thoại Port Specification  Next - Hộp thoại Completing…  Finish  Cửa sổ ISA Server Management  Apply  OK Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 51 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  B11 Tạo rule publish secure web - Hộp thoại Welcome  Đặt tên: “Publish Secure Web”  Next - Hộp thoại Publishing Mode  chọn SSL Bridging  Next - Hộp thoại Select Rule Action  chọn Allow - Hộp thoại Bridging Mode  chọn “Secure  Next connection to clients and Web server” - Hộp thoại Define Website to Publish  - Hộp thoại Publish Name Details  Nhập nhập Computername “www.domY.com”  Public Name: “www.domY.com”  Next Next Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 52 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  - Hộp thoại Select web listener  chọn HTTPS Listener  Next - Hộp thoại User sets  giữ nguyên set “All Users”  Next - Hộp thoại Completing the New SSL Web Publishing Rule Wizard  Finish - Trên cửa sổ ISA Server Management  Apply  OK B12 Kiểm tra hoạt động (thực hiện trên máy Client): Trong chương trình Internet Explorer, nhập URL: HTTPS://WWW.DOMY.COM  Yes. 4. Publish Secure Outlook Web Access: B1 Bổ sung dữ liệu External DNS server (thực hiện trên máy ISA): Tạo host: smail.domY.com chỉ về IP 192.168.P.X. Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 53 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  B2 Bổ sung dữ liệu Internal DNS server (thực hiện trên máy DC): Tạo alias: smail.domY.com chỉ về host pcY.domY.com. B3 Xin certificate cho Exchange mail server (thực hiện trên máy DC): • Remove certificate cũ: - Start  Programs > Administrative Tools  Internet Information Services. - Trong cửa sổ Internet Information Services  Click phải Default Web Site  Properties. - Trong hộp thoại Default Web Site Properties  tab Directory Security  Server Certificate - Màn hình Welcome  Next - Hộp thoại Server Certificate  chọn Remove the current certificate  Next  Finish • Xin certificate: - Trong hộp thoại Default Web Site Properties  tab Directory Security  Server Certificate - Màn hình Welcome  Next - Hộp thoại Server Certificate  chọn Create a new certificate  Next - Hộp thoại Delayed or Immediate Request - Hộp thoại Organization Information  nhập  chọn Send the request immediately… Organization name và Organization unit name  Next  Next. - Hộp thoại Your Site’s Common Name  nhập Common Name: smail.domY.com - Hộp thoại Name and Security Settings  giữ nguyên thông số mặc định  Next. Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 54 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  - Hộp thoại Geographical Information  chọn Country/Region và nhập thông tin City/Locality  Next - Hộp thoại SSL Port  giữ nguyên thông số port 443 mặc định  Next. - Hộp thoại Choose a Certification Authority  giữ nguyên thông số mặc định  Next. - Hộp thoại Certification Request Submission  Next  Finish. B4 Cấu hình các virtual directory của Exchange server: - Start  Programs > Administrative Tools  Internet Information Services. - Trong cửa sổ Internet Information Services  Web Sites  Default Web Site. • Exchange virtual directory: - Click phải vào Exchange  - Hộp thoại Exchange Properties  tab Directory Properties Security  mục Secure Communications  Edit - Hộp thoại Secure Communications  check vào option Require Secure Channel (SSL)  OK  OK • ExchWeb virtual directory: - Click phải vào ExchWeb  Properties - Hộp thoại ExchWeb Properties  tab Directory Security  mục Secure Communications  Edit - Hộp thoại Secure Communications  check vào option Require Secure Channel (SSL) • Public virtual directory: - Click phải vào Public  Properties - Hộp thoại Public Properties  tab Directory Security  mục Secure Communications  Edit - Hộp thoại Secure Communications  check vào option Require Secure Channel (SSL) Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 55 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  B5 Xin certificate cho ISA server (thực hiện trên máy ISA):Trong chương trình Intenet Explorer  nhập URL: http://pcY.domY.com/CERTSRV  Request a certificate  advanced certificate request  Create and submit a request to this CA  Khai báo các thông số: • Certificate template: Web Server • Name: smail.domY.com • Check “Store certificate in the local computer certificate store” - Submit và Install certificate. Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 56 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  B6 Điều chỉnh HTTPS Listener - Trên cửa sổ ISA Server Management  - Hộp thoại HTTPS Listener Properties  tab Properties của HTTPS Listener Preferences  Select - Hộp thoại Select Certificate  chọn certificate Issued To smail.domY.com  OK  OK - Trên cửa sổ ISA Server Management  Apply  OK B7 Tạo rule publish Secure Outlook Web Access (thực hiện trên máy ISA) - Hộp thoại Welcome  Đặt tên: “Publish Secure OWA”  Next - Hộp thoại Select Access Type  chọn Web client access: Outlook Web Access (OWA), Outlook Mobile…  Next Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 57 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  - Hộp thoại Select Service  chọn Outlook Web Access  Next - Hộp thoại Bridging Mode chọn Secure connections to clients and mail server  Next - Hộp thoại Specify the Web Mail Server  - Hộp thoại Public Name Details  Nhập nhập vào smail.domY.com  Next public name smail.domY.com  Next - Hộp thoại Select Web Listener  chọn HTTPS Listener  Next - Hộp thoại User Sets  Giữ nguyên thông số mặc định All Users  Next - Hộp thoại Completing the New Mail Server Publishing Rule Wizard  Finish. - Để user có thể gửi mail ra ngoài, tạo thêm 02 access rule: Rule Name : “DNS Outbound” Rule Name : “SMTP Outbound” Action : Allow Action : Allow Protocol : DNS Protocol : SMTP Rule source : Internal Rule source : Internal Rule destination : External Rule destination : External User sets : All Users User sets : All Users - Trên cửa sổ ISA Server Management  Apply  OK Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 58 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com  B8 Kiểm tra hoạt động (thực hiện trên máy Client): Dùng chương trình Internet Explorer truy cập địa chỉ HTTPS://smail.domY.com/exchange. Gửi mail cho [email protected] để kiểm tra. Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 59