在本练习中,您将为使用Outlook Web Access(OWA)的客户端启用对Exchange Server的访问。您将对ISA Server进行配置以使用SSL桥接,因为您需要使用SSL协议(HTTPS)对连接进行加密,而且还需要在在ISA Server计算机上检查通讯。
注意:在前9个任务中,您将在Denver和ISA Server阵列成员上申请并配置Web服务器证书。这些任务还需要执行本模块后面的“HTTP上的RCP”练习。
1、在Den ver计算机上,连接到Denver计算机的CA以申请一个证书。
名称:Denver.contoso.com
证书类型:服务器验证
使用计算机存储:是
A、在Denver计算机上,打开Interent Explorer。在“地址”框中,键入 [url]http://Denver/certsrv[/url],然 后按Enter键。
Denver计算机是证书颁发机构(CA),名称为DenverCA。
B、在“欢迎使用”上,单击“申请一个证书”。
C、在“申请一个证书”页面上,单击“高级证书申请”
D、在“高级证书申请”页面上,单击“创建并向此CA提交一个申请”。
E、在下一个“高级证书申请”页面上,填写以下信息:
名称:Denver.contoso.com
所需的证书类型:服务器身份验证证书
将证书保存在本地计算机证书存储中:启用
让其他设置保留默认值
然后单击“提交”
最好是在证书申请的所有字段中都填入信息,而不是仅填“名称”字段,就像在本练习中所做的一样。
F、在“潜在的脚本冲突”消息框中,单击“是”以确认要立即申请一个证书。
G、在”证书已颁发“页面上,单击”安装此证书“。
H、在下一个“潜在的脚本冲突”消息框中,单击“是”以确认要添加该证书。
Interent Explorer将报告证书已安装成功。
I、关闭Interent Explorer。
2、将IIS配置为使用Denver.contoso.com Web 服务器证书。
A、在“开始”菜单上,单击“管理工具”,然后单击“Internet信息服务(IIS)管理器”。此时将打开“IIS管理器”控制台。
B、在“IIS管理器”控制台中,依次展开“DENVER(本地计算机)”和“网站”,右键单击“默认网络”,然后单击“属性”。
C、在“默认网络属性”对话框的“目录安全性”选项卡上,单击“服务器证书”。
D、在“欢迎使用Web 服务器证书向导”对话框中,单击“下一步”。
E、在“服务器证书”页面上,选定“分配现有证书”,然后单击“下一步”。
F、在“可用证书”页面上,为Denver.contoso.com选择用于“服务器验证”的证书(不选择用于其他目的的证书),然后单击“下一步”
G、在“SSL端口”页面的“此网站应该使用的SSL端口”文本框中,键入443,然后单击“下一步”。
H、在“证书摘要”页面上,单击“下一步”。
I、在“完成Web服务器证书向导”页面上,单击“完成”。
至此,Denver计算机上的默认网站即可使用Denver.contoso.com Web 服务器证书进行HTTPS连接。
J、单击“确定”一关闭“默认网络属性”对话框。
K、关闭“IIS管理器”控制台。
3、在Florence计算机上,创建新的URL集:
名称DenverCA
URL: [url]http://Denver.contoso.com[/url] /certsrv/*
A、在Florence计算机上,在ISA Server控制台的左窗格中,选择”防火墙策略(ITALY)“。
B、在任务窗格的“工具箱”选项卡上,从“网络对象”部分右键单击“URL集”,然后单击“新建URL集”。
C、在“新建URL集规则元素”对话框的“名称”文本框中,键入DenverCA ,然后单击“新建”。
D、在新的” [url]http://NewSiteName[/url]"文本框中,键入 [url]http://Denver.contoso.com[/url] /certsrv/*替代原有文本,然后按Enter键。
E、单击“确定”以关闭“新建URL集规则元素”对话框。
此时,就为URL [url]http://Denver.contoso.com[/url] /certsrv创建了一个新的URL集,名称为DenverCA 。
4、创建新的访问规则。
名称:允许从防火墙到DenverCA 的HTTP请求
应用于:HTTP
源网络:本地主机 目标URL集:DenverCA
A、在右窗格中,选择第一个规则,以指示新规则将添加到规则列表中的位置。
B、在任务窗格的“任务”选项卡上,单击“创建阵列访问规则”。
C、在“新建访问规则向导”对话框的“访问规则名称”文本框中,键入“允许从防火墙到DenverCA 的HTTP请求”,然后单击“下一步”。
D、在“规则操作”页面上,选择“允许”,然后单击“下一步”。
E、在“协议”页面上的“此规则应用到”列表框中,选择“所选的西医”,然后单击“添加”。
F、在“添加协议”对话框中,依次单击“通用协议”、“HTTP”、“添加”,然后单击“关闭”以关闭“添加协议”对话框。
G、在“协议”页面下,单击“下一步”。
H、在“访问规则源”页面上单击“添加”。
I、在“添加网络实体”对话框中,
依次单击“网络”、“本地主机”、“添加”,然后单击“关闭”以关闭“添加网络实体”对话框。
M、在“访问规则目标”页面上,单击“下一步”。
N、在“用户集”页面上,单击“下一步”。
O、在“正在完成新建访问规则向导”页面上,单击“完成”。
此时创建了一个新的防火墙策略规则,该规则允许从“本地主机”网络(ISA Server)通过HTTP协议连接到Denver计算机上的证书申请URL。
P、单击“应用”以应用新规则,然后单击“确定”。等待,直到CCS状态变为“已同步”。
5、连接到Denver上的CA以申请一个证书。
名称:mail.contoso.com
证书类型:服务器验证
标记为可导出:是
使用计算机存储:是
A、打开Internet Exploer。在“地址”框中,键入 [url]http://Denver.contoso.com[/url] /certsrv,然后按Eenter键。
B、在“欢迎使用”页面上,单击“申请一个证书”。
C、在“申请一个证书”页面少年宫,单击“高级证书申请”。
D、在“高级证书申请”页面上,单击“创建并向此CA提交一个申请”。
E、在下一个“高级证书申请”页面上,填写以下信息:
名称:mail.contoso.com
所需的证书类型:服务器身份验证证书
将密钥标记为可导出:启用
将证书保存在本地计算机证书存储中:启用
让其他设置保留默认值
然后单击“提交”。
DenverCA 是独立的CA,而非企业CA。企业CA所用的默认“Web服务器”证书摸板不允许将密钥标记为可导出。
F、在“潜在的脚本冲突”消息框中,单击“是”以确认要立即申请一个证书。
G、如果出现消息框,警告您在向Internet发送信息时,其他人可能会看到此信息,则单击“是”以确认继续操作。
H、在“证书已颁发”页面上,单击“安装此证书”。
I、在下一个“潜在的脚本冲突”消息框中,单击“是”以确认要添加该证书。Internet Exploer将报告证书已安装成功。
注意:Denver CA的根证书已作为受信任根证书安装在FLORENCE和FIREENZE计算机上
如果不从ISA SERVER连接到CA以申请证书,则您这可以在其他计算机上申请并导出证书和私钥,然后导入ISA SERVER计算机。
J、关闭Internet Exploer。
6、使用“证书”控制台导出服务器身份验证证书。
导出私钥:是
名称:C:/mailcert.pfx
密码:password3
A、在“开始”菜单上,单击“运行”。
B、在“运行”对话框中,键入mmc.exe,然后单击“确定”。此时将打开一个新的空Microsoft管理控制台(MMC)
C、在“控制台1”窗口的"文件“菜单上,"添加/删除管理单元”。
D、在"添加/删除管理单元”对话框中,单击“添加”。
E、在"添加/删除管理单元”对话框中,选择“证书”,然后单击“下一步”。
F、在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。
G、在“选择计算机”对话框中,选择“本地计算机,然后单击”完成“。
H、单击”关闭“以关闭”添加独立管理单元“对话框。
I、单击“确定”以关闭“添加/删除管理单元”对话框。
此时,本地计算机帐户的证书管理单元将添加至控制台中。
J、将”控制台根目录“窗口最大化。
K、在左窗格中,依次展开“证书(本地计算机)”、“个人”,然后选择“证书”。本地计算机帐户的证书存储列出名为mail.contoso.com服务器身份验证证书。
I、在右窗格中,右键单击“mail.contoso.com”证书,单击“所有任务”,然后单击“导出”。
M、在“证书导出向导”对话框中,单击“下一步”。
N、在“导出私钥”页面上,选择“是,导出私钥”,然后单击“下一步”。
O、在“导出文件格式”页面上,单击“下一步”。导出私钥时,必须提供加密已保存证书文件的密码。
P、在“密码”页面上,填写以下信息:
密码:password3
确认密码:password3
然后单击“下一步“。
Q、在“要导出的文件”页面的“文件名”文本框中,键入c:\mailcert.pfx,然后单击“下一步”。
R、在“正在完成证书导出向导”页面上,单击“完成”。
此时,服务器身份验证证书和私钥将导出至c:\mailcert.pfx文件。
S、单击“确定”以确认导出成功。
T、关闭“控制台1”窗口。单击“否”以确认您不想将控制台设置保存至控制台1。
7、在Firenze计算机上使用“证书”控制台导入服务器身份验证证书。
名称\\Florence\c$\mailcert.pfx
密码:password3
A、在Firenze计算机上,依次单击“开始”菜单、“运行”。
B、在“运行”对话框中,键入mmc.exe,然后单击“确定”。此时将打开一个新的空Microsort管理控制台(MMC)。
C、在“控制台1”窗口的“文件”菜单上,单击“添加/删除管理单元”。
D、在“添加/删除管理单元”对话框中,单击“添加”。
E、在“添加/删除管理单元”对话框中,选择“证书”,然后单击“添加”。
F、在“证书管理单元 ”对话框中,选择“计算机帐户”,然后单击“下一步”。
G、在“选择计算机”对话框中,选择“本地计算机”,然后单击“完成”。
H、单击“关闭”以关闭“添加独立管理单云”对话框。
I、单击“确定”以关闭“添加/删除管理单元”对话框。此时,本地计算机帐户的证书管理单元将添加至控制台中。
J、将“控制台根目录”窗口最大化。
K、在左窗口中,依次展开“证书(本地计算机),”然后选择“个人”。
I、右键单击“个人”,单击“所有任务”,然后单击“导入”。
M、在“证书导入向导”对话框中,单击“下一步”。
N、在“证书导入的文件”页面的“文件名”文本框中,键入\\Florence\c$\mailcert.pfx,然后单击“下一步”。
O、在“密码”页面的“密码”文本框中,键入password3,然后单击“下一步”。
P、在“证书存储”页面上,单击“下一步”。
Q、在“正在完成证书导入向导”页面上,单击“完成”。服务器身份验证证书安装在Firenze上的本地计算机证书存储中。
R、单击“确定”以确认导入成功。
S、关闭“控制台1”窗口。单击“否”以确认您不想将控制台设置保存至控制台1。
在FLORENCE计算机执行以下操作:
8、在Florence计算机上,刷新ISA Server控制台,重心读取已安装的证书。
A、在Florence计算机上,在ISA Server控制台的左窗格中,右键单击“ITALY”,然后单击“刷新”。此步骤确保ISA Server控制台会重心读取Florence和Firenze计算机上已安装证书的列表。
9、创建一个新的Web侦听器:
名称:外部Web443
证书:mail.contoso.com
网络:外部
A、在左窗格中,选择“防火墙策略(ITALY)。
B、在任务窗格的”工具箱“选项卡上,从“网络对象”部分右键单击“Web侦听器”,然后单击“新建Web侦听器”。
C、在“新建Web侦听器定义向导”对话框中的“Web侦听器名称”文本框中,键入“外部Web443”,然后单击“下一步”。
D、在“IP地址”页面上,选择“外部”,然后单击“下一步”。
E、在“端口指定”页面上,填写以下信息:
启用HTTP:禁用
启用SSL:启用
SSL端口:443(默认)
然后单击“选择”。
如果 ISA Server控制台在所有阵列成员上均找不到匹配的服务器身份验证证书,则不会显示“选择证书”对话框。
F。在“选择证书”对话框中,选择“mail.contoso.com ”证书,然后单击“确定”。
G、在”端口指定“页面上,单击“下一步”。
H、在“正在完成新建Web侦听器向导”页面上,单击“完成”。此时,就创建了一个新的Web侦听器,其名称为“外部Web443”(使用mail.contoso.com 证书,端口为SSL端口443,位于“外部”网络上。
10、创建OWA邮件服务器发布规则:
名称:发布邮件(OWA)
Web邮件服务器:denver.contoso.com
公共名称:mail:contoso.com
Web服务器:外部443
A、 在右窗格中,选择性第一个规则,以指示新规则将添加到规则列表中的位置。
B、 在任务窗格中的“任务”选项卡上,单击“发布邮件服务器”。
C、 在“新建邮件服务发布规则向导”对话框的“邮件服务器发布规则名称称”文本框中,键入“发布邮件(WOA)”,然后单击“下一步”。
D、 在选择“访问类型” 面上,选择“Web客户端访问:Outlook Web Access(OWA),Outlook Mobile Access,Exchange Server AciveSync”,然后单击“下一步”
该向导页的其余部分是通用“SSL Web”发布规则向导的专门版本。
E、 在“选择服务”页面上,填写以下信息:
Outlook Web Access:启用(默认)
Outlook Mobile Access:禁用(默认)
Exchange ActiveSync:禁用(默认)
启用非英文字符集使用用的高字节字符:启用(默认)
然后单击“下一步”
F、 在“桥节模式”选项卡上,分别单击三个选项,以检查三种OWA发布方案有何区别。
黄色锁定图标表示HTTPS(SSL)连接。非黄色锁定 标表示HTTP连接。
G、 在“桥接模式”选项卡上,选择“加密到客户端和邮件服务器的连接”,然后单击“下一步”。
H、 在“指定WEB邮件服器”页面上的“WEB邮件服务器”文本框中,键入denver.contoso.cocm,然后单击“下一步”。
Web邮件服务器的指下名称必腼腆与Denver Web服器上的证书中的名称完全区配否则,客户端计算机的Internet Explorer将无法连接,并且会显示一条错误消息(500内部服务器错误—目标主体名称不正确)
I、 在“公共名称细节”页面上,填写以下信息:
按受请求:此域名(在以下输入):
公共名称:mail.contoso.com
然后单击“下一步”。
指定的公共域必须与Florence上证书中的名称安全匹配。否则,正在连接的客户端计算机 显示一条安全警报消息(安全证书上的名称无效)。
J、 在“选择WEB侦听器”页面上,从“WEB侦听器”列表框中选择”外部WEB443“,然后单击“下一步”
K、 在“用户集”页面上,单击“下一步”
L、 在“完成新了件服务器发 规则向导”上,单击“完成”。
此时,创建了一个新的WEB发布规则,该规则将denver.contoso.com网站上的三个OWA虚拟目录发 为“外部”网络上的mail.contoso.com。
11、考察名为“发布邮件(OWA)”的新OWA邮件服务器发布规则。
A、在右窗格中,右键单击“发布邮件(OWA)”,然后单击“属性”。
B、在“发布邮件(OWA)属性”对话框中,选择“到”选项卡。
OWA 要求将初始主机头( [url]Https://mail.contoso.com[/url])转让发给发布的邮件服务器(Denver)。
C、选择“通讯”选项卡。
OWA发布规则只充许HTTPS访问,而不充许HTTP访问。
D、选择“路径”选项卡。
OWA发布规只充许访问OWA所需的三个虚拟目录(/exchange /exchweb和/public)。
E、选择“侦听器”选项卡。
证书名称(mail.contoso.com)与“公共名称”选项卡上的名称完全匹配。
F、选择“桥接”选项卡。
ISA SERVER将传入的请求重定赂到SSL端口,它将新建从ISA SERVER到Denver的SSL连接。“到”选项卡上的名称与Denver计算机上该证书中的名称完全匹配。
G、单击“取消”以关闭“发布邮件(OWA)属性”对话框。
12、应用新规则。
A、在右窗格中,单击“应用”以应用该新规则,然后单击“确定”。等待,直到CSS状态变为“已同步”。
此时,将应用新的“发布邮件(OWA)”规则。
在Denver计算机上执行以下步骤。
13、在Denver计算机上,将IIS配置为要求对OWA所用的虚拟目录使用SSL:
/Exchange
/ExchWeb
/Public
A、 在Denver计算机上,依次单击“开始”菜单、“管理工具”,然后单击“Internet 信息服务(IIS)管理器”此时将打开“IIS管理器”控制度台。
B、 在“IIS管理器”控制度台中,展开“默认网站”,右键单击“Exchange”,然后单击“属性”。
/exchange /exchweb和/public是Outlook Web Access(OWA)使用的三个虚拟目录。
C、 在“Exchange属性”对话框的“目录安全性”选项卡上,单击“安全通信”框中的“编辑”。
D、 在“安全通信”框中,启用“要求安全通信(SSL)”,然后单击“确定”。
既然为IIS配置了WEB服务器证书,就应充许只通过安全访问方式(HTTPS)访问OWA虚拟目录。
E、 单击“确定”以关闭“Exchange属性”对话框。
对/ExchWeb虚拟目录重复同样的步骤。
F、 右键单击“ExchWeb”,然后单击“属性”。
G、 在“ExchWeb属性”对话框的“目录安全性”选项卡上,单击“安全通信”框中的“编绢”。
H、 在“安全通信”框中,启用“要求安全通道(SSL)”,然后单击“确定”。
I、 单击“确定”以关闭“ExchWeb属性”对话框。
对/Public虚拟目录重复同样的配置步骤。
J、 右键单击“Public“,然后单击“属性”。
K、 在“ExchWeb属性”对话框中的“目录安全性”选项卡上,单击“安全通信”框中的“编缉“。
L、 在“安全通信”框中,启用“要求安全通信(SSL)”,然后单击“确定”。
M、 单击“确定”以关闭“Public属性”对话框。
N、 关闭“IIS管理器”控制台。
在Istanbul计算机上执行以下步骤。
14.在Istanbul计算机上,使用Internet Explorer安全地连接到 [url]https://mai.contoso.com/exchange[/url]
发送一封电子邮件给Administrator,以测试与ISA SERVER 的安全OWA连接。
A、 在Istanbul计算机相,打醋Internet Explorer。在“地址”框中,键入 [url]http://mail.contoso.cocm/exchange[/url],然后按Enter键。
此时将显示mail.contoso.com的身份验证对话框。
注意:在Istanbul上,mail.contoso.com只解析为39.1.1.1(Florence)。本练习后面将不会用到Firenze。
B、 在“连接到mail.contoso.com”对话框中,填写以下信息:
用户名:Administrator
密码:password
记信密码:禁用(默认)
然后单击“确认”。
InternetExplorer将显示Administrator的Outlook Web Access收件箱。屏幕底部的黄钯锁定图标表示该链接使用SSL
注意:Denver CA的根证书已作为受信任根下书安装在Istnbul上。
C、 OWA的工具书栏上,单击“新建”。
D、 在“新建邮件”窗口中,填写以下信息:
收件人: Administraotr
主题:测试通过安全OWA的邮件-2
(邮件):使用安全OWA发布Exchange
然后单击“发送”。
Internet Explor即会发送该邮件。
大约几分钟之后,收件箱中就侍出现一封建新邮件。这一结果表明,Internet Explorer已使用与ISA Server的安全OWA连接成功地连接到Denver上的Exchange Server。
E、 几分钟后,单击左窗格中的“收件箱”,以刷新收件箱中的内容。
F、 关闭Internet Explorer。
注意:在下面的步骤中,将配套置基于OWA窗体的身份验证。使用基于OWA窗体的身份验证的优点在于,身份验证的凭借据不会被缓存在客户端计算机上。如果用户使用公用计算机进行连接,这一点监理所要。在打开OWA连接时,凭借据信息将被保存在(临时)会话Cookie中。
在Florence计算机执行以下几点步骤。
15、在Florence计算机上,将“外部Web443”Web侦听器配置为使用“基于OWA客体”的身份验证。
A、在Florence计算机上,在ISA Server控制度台的左窖格中,对“防火墙策略(ITALY)”
B、在任务窗格的“工具箱”选项卡上,从“风络对象”部分展开”web侦听器“,右键单击“外部Web 443”然后单击“属性”
C、在“外部 Web 443属性”对话框的“首选项”选项卡上,单击“身份验证”
D、在“身份验证”对话框中,从“方法”列表中禁用“集成”。
此时将显示一个警告消息框,因为当前没有选择身份验证方法。
E、在警告消息框中,单击“确定”以确认当前要求身份验证的请求将被拒绝。
F、在“身份验证”对话框中,从“方法”列表中启用“基于OWA窗体”,然后单击“配置”。
“基于OWA窗体的身份验证”对话框允许指定“空闲会话超时”值,并允许为公共计算机上的客户端浏览器和私有计算机上的客户端浏览器在用“拦截电子邮件附近件”。
G、 单击“取消”以关闭“基于OWA窗体的身份验证”对话框。
H、 单击“确定”以关闭“身份验证”对话框。
I、 单击“确定”以关闭外部Web 443“属性”对话框。
至此,已将Web侦听器配置为使用“基于OWA窗体”的身份验证。
J、 单击“应用”以应用所做的更改,然后单击“确定”。等待,直到CSS状态变为“已同步”。
在Istanbul计算机上执行以下步骤。
16、在Istanbul计算机上,使用Internet Explorer再次安全地连接到 [url]http://mail.contoso.com/exchange.[/url]
A、在Istanbul计算机上,打开Internet Explorer,在“地址”框中,键入 [url]http://mail.contoso.com/exchange[/url],然后按Enter键。
此时将显示“Exchange Server 2003 OWA身份验证“页面。
B、在“OWA身份验证”网页上,填写以下信息:
域\用户名:contoso\administrator
密码:password
客户端:Premium(默认)
安全性:私用计算机
然而后单击“登陆”
当使用“基于OWA窗体”的身份验证时,用户需要指明客户端浏览器是在公用计算机上,还是在私有计算机上。Internet Explorer会显示Outlook Web Access收件箱。
C、关闭Internet Explorer
注意:需要执行以任务来避免与其他实验室练习产生冲突。
在Florence计算机上执行以下步骤。
17、在Florence计算机上,将“外部Web 443” Web侦听器配置为使用“集成”的身份验证。
A、在Florence计算机相,在ISA Server控制台的左窗格中,选择“防火墙策略(ITALY)”。
B、在任务窗格的“工具箱”选项卡上,从“网络对象”部分展开“Web侦听器”,右键单击“外部Web 443”,然后单击“属性”.
C、在“外部Web 443属性”对话框的“首选项”选项卡上,单击“身份验证”。
D、在“身份验证”对话框中,从“方法”列表中禁用“基于OWA窗体”。
此时将显示一个警告消息框。
E、在警告消息框中,单击“确定”以确认当前要求身份验证的请求将被拒绝。
F、在“身份验证”对话框中,从“方法”列表中启用“集成”。
G、单击“确定”以关闭“身份验证”对话框。
H、单击“确定”以关闭“外部Web 443属性”对话框。
Web侦听器现在已经被配置为使用用默认设置,即“集成”的身份验证。
I、单击“应用”以应用所做的更改,然后单击“确定”。等待,直到CSS状态变为“已经同步”。
注意:在前9个任务中,您将在Denver和ISA Server阵列成员上申请并配置Web服务器证书。这些任务还需要执行本模块后面的“HTTP上的RCP”练习。
1、在Den ver计算机上,连接到Denver计算机的CA以申请一个证书。
名称:Denver.contoso.com
证书类型:服务器验证
使用计算机存储:是
A、在Denver计算机上,打开Interent Explorer。在“地址”框中,键入 [url]http://Denver/certsrv[/url],然 后按Enter键。
Denver计算机是证书颁发机构(CA),名称为DenverCA。
B、在“欢迎使用”上,单击“申请一个证书”。
C、在“申请一个证书”页面上,单击“高级证书申请”
D、在“高级证书申请”页面上,单击“创建并向此CA提交一个申请”。
E、在下一个“高级证书申请”页面上,填写以下信息:
名称:Denver.contoso.com
所需的证书类型:服务器身份验证证书
将证书保存在本地计算机证书存储中:启用
让其他设置保留默认值
然后单击“提交”
最好是在证书申请的所有字段中都填入信息,而不是仅填“名称”字段,就像在本练习中所做的一样。
F、在“潜在的脚本冲突”消息框中,单击“是”以确认要立即申请一个证书。
G、在”证书已颁发“页面上,单击”安装此证书“。
H、在下一个“潜在的脚本冲突”消息框中,单击“是”以确认要添加该证书。
Interent Explorer将报告证书已安装成功。
I、关闭Interent Explorer。
2、将IIS配置为使用Denver.contoso.com Web 服务器证书。
A、在“开始”菜单上,单击“管理工具”,然后单击“Internet信息服务(IIS)管理器”。此时将打开“IIS管理器”控制台。
B、在“IIS管理器”控制台中,依次展开“DENVER(本地计算机)”和“网站”,右键单击“默认网络”,然后单击“属性”。
C、在“默认网络属性”对话框的“目录安全性”选项卡上,单击“服务器证书”。
D、在“欢迎使用Web 服务器证书向导”对话框中,单击“下一步”。
E、在“服务器证书”页面上,选定“分配现有证书”,然后单击“下一步”。
F、在“可用证书”页面上,为Denver.contoso.com选择用于“服务器验证”的证书(不选择用于其他目的的证书),然后单击“下一步”
G、在“SSL端口”页面的“此网站应该使用的SSL端口”文本框中,键入443,然后单击“下一步”。
H、在“证书摘要”页面上,单击“下一步”。
I、在“完成Web服务器证书向导”页面上,单击“完成”。
至此,Denver计算机上的默认网站即可使用Denver.contoso.com Web 服务器证书进行HTTPS连接。
J、单击“确定”一关闭“默认网络属性”对话框。
K、关闭“IIS管理器”控制台。
3、在Florence计算机上,创建新的URL集:
名称DenverCA
URL: [url]http://Denver.contoso.com[/url] /certsrv/*
A、在Florence计算机上,在ISA Server控制台的左窗格中,选择”防火墙策略(ITALY)“。
B、在任务窗格的“工具箱”选项卡上,从“网络对象”部分右键单击“URL集”,然后单击“新建URL集”。
C、在“新建URL集规则元素”对话框的“名称”文本框中,键入DenverCA ,然后单击“新建”。
D、在新的” [url]http://NewSiteName[/url]"文本框中,键入 [url]http://Denver.contoso.com[/url] /certsrv/*替代原有文本,然后按Enter键。
E、单击“确定”以关闭“新建URL集规则元素”对话框。
此时,就为URL [url]http://Denver.contoso.com[/url] /certsrv创建了一个新的URL集,名称为DenverCA 。
4、创建新的访问规则。
名称:允许从防火墙到DenverCA 的HTTP请求
应用于:HTTP
源网络:本地主机 目标URL集:DenverCA
A、在右窗格中,选择第一个规则,以指示新规则将添加到规则列表中的位置。
B、在任务窗格的“任务”选项卡上,单击“创建阵列访问规则”。
C、在“新建访问规则向导”对话框的“访问规则名称”文本框中,键入“允许从防火墙到DenverCA 的HTTP请求”,然后单击“下一步”。
D、在“规则操作”页面上,选择“允许”,然后单击“下一步”。
E、在“协议”页面上的“此规则应用到”列表框中,选择“所选的西医”,然后单击“添加”。
F、在“添加协议”对话框中,依次单击“通用协议”、“HTTP”、“添加”,然后单击“关闭”以关闭“添加协议”对话框。
G、在“协议”页面下,单击“下一步”。
H、在“访问规则源”页面上单击“添加”。
I、在“添加网络实体”对话框中,
依次单击“网络”、“本地主机”、“添加”,然后单击“关闭”以关闭“添加网络实体”对话框。
M、在“访问规则目标”页面上,单击“下一步”。
N、在“用户集”页面上,单击“下一步”。
O、在“正在完成新建访问规则向导”页面上,单击“完成”。
此时创建了一个新的防火墙策略规则,该规则允许从“本地主机”网络(ISA Server)通过HTTP协议连接到Denver计算机上的证书申请URL。
P、单击“应用”以应用新规则,然后单击“确定”。等待,直到CCS状态变为“已同步”。
5、连接到Denver上的CA以申请一个证书。
名称:mail.contoso.com
证书类型:服务器验证
标记为可导出:是
使用计算机存储:是
A、打开Internet Exploer。在“地址”框中,键入 [url]http://Denver.contoso.com[/url] /certsrv,然后按Eenter键。
B、在“欢迎使用”页面上,单击“申请一个证书”。
C、在“申请一个证书”页面少年宫,单击“高级证书申请”。
D、在“高级证书申请”页面上,单击“创建并向此CA提交一个申请”。
E、在下一个“高级证书申请”页面上,填写以下信息:
名称:mail.contoso.com
所需的证书类型:服务器身份验证证书
将密钥标记为可导出:启用
将证书保存在本地计算机证书存储中:启用
让其他设置保留默认值
然后单击“提交”。
DenverCA 是独立的CA,而非企业CA。企业CA所用的默认“Web服务器”证书摸板不允许将密钥标记为可导出。
F、在“潜在的脚本冲突”消息框中,单击“是”以确认要立即申请一个证书。
G、如果出现消息框,警告您在向Internet发送信息时,其他人可能会看到此信息,则单击“是”以确认继续操作。
H、在“证书已颁发”页面上,单击“安装此证书”。
I、在下一个“潜在的脚本冲突”消息框中,单击“是”以确认要添加该证书。Internet Exploer将报告证书已安装成功。
注意:Denver CA的根证书已作为受信任根证书安装在FLORENCE和FIREENZE计算机上
如果不从ISA SERVER连接到CA以申请证书,则您这可以在其他计算机上申请并导出证书和私钥,然后导入ISA SERVER计算机。
J、关闭Internet Exploer。
6、使用“证书”控制台导出服务器身份验证证书。
导出私钥:是
名称:C:/mailcert.pfx
密码:password3
A、在“开始”菜单上,单击“运行”。
B、在“运行”对话框中,键入mmc.exe,然后单击“确定”。此时将打开一个新的空Microsoft管理控制台(MMC)
C、在“控制台1”窗口的"文件“菜单上,"添加/删除管理单元”。
D、在"添加/删除管理单元”对话框中,单击“添加”。
E、在"添加/删除管理单元”对话框中,选择“证书”,然后单击“下一步”。
F、在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。
G、在“选择计算机”对话框中,选择“本地计算机,然后单击”完成“。
H、单击”关闭“以关闭”添加独立管理单元“对话框。
I、单击“确定”以关闭“添加/删除管理单元”对话框。
此时,本地计算机帐户的证书管理单元将添加至控制台中。
J、将”控制台根目录“窗口最大化。
K、在左窗格中,依次展开“证书(本地计算机)”、“个人”,然后选择“证书”。本地计算机帐户的证书存储列出名为mail.contoso.com服务器身份验证证书。
I、在右窗格中,右键单击“mail.contoso.com”证书,单击“所有任务”,然后单击“导出”。
M、在“证书导出向导”对话框中,单击“下一步”。
N、在“导出私钥”页面上,选择“是,导出私钥”,然后单击“下一步”。
O、在“导出文件格式”页面上,单击“下一步”。导出私钥时,必须提供加密已保存证书文件的密码。
P、在“密码”页面上,填写以下信息:
密码:password3
确认密码:password3
然后单击“下一步“。
Q、在“要导出的文件”页面的“文件名”文本框中,键入c:\mailcert.pfx,然后单击“下一步”。
R、在“正在完成证书导出向导”页面上,单击“完成”。
此时,服务器身份验证证书和私钥将导出至c:\mailcert.pfx文件。
S、单击“确定”以确认导出成功。
T、关闭“控制台1”窗口。单击“否”以确认您不想将控制台设置保存至控制台1。
7、在Firenze计算机上使用“证书”控制台导入服务器身份验证证书。
名称\\Florence\c$\mailcert.pfx
密码:password3
A、在Firenze计算机上,依次单击“开始”菜单、“运行”。
B、在“运行”对话框中,键入mmc.exe,然后单击“确定”。此时将打开一个新的空Microsort管理控制台(MMC)。
C、在“控制台1”窗口的“文件”菜单上,单击“添加/删除管理单元”。
D、在“添加/删除管理单元”对话框中,单击“添加”。
E、在“添加/删除管理单元”对话框中,选择“证书”,然后单击“添加”。
F、在“证书管理单元 ”对话框中,选择“计算机帐户”,然后单击“下一步”。
G、在“选择计算机”对话框中,选择“本地计算机”,然后单击“完成”。
H、单击“关闭”以关闭“添加独立管理单云”对话框。
I、单击“确定”以关闭“添加/删除管理单元”对话框。此时,本地计算机帐户的证书管理单元将添加至控制台中。
J、将“控制台根目录”窗口最大化。
K、在左窗口中,依次展开“证书(本地计算机),”然后选择“个人”。
I、右键单击“个人”,单击“所有任务”,然后单击“导入”。
M、在“证书导入向导”对话框中,单击“下一步”。
N、在“证书导入的文件”页面的“文件名”文本框中,键入\\Florence\c$\mailcert.pfx,然后单击“下一步”。
O、在“密码”页面的“密码”文本框中,键入password3,然后单击“下一步”。
P、在“证书存储”页面上,单击“下一步”。
Q、在“正在完成证书导入向导”页面上,单击“完成”。服务器身份验证证书安装在Firenze上的本地计算机证书存储中。
R、单击“确定”以确认导入成功。
S、关闭“控制台1”窗口。单击“否”以确认您不想将控制台设置保存至控制台1。
在FLORENCE计算机执行以下操作:
8、在Florence计算机上,刷新ISA Server控制台,重心读取已安装的证书。
A、在Florence计算机上,在ISA Server控制台的左窗格中,右键单击“ITALY”,然后单击“刷新”。此步骤确保ISA Server控制台会重心读取Florence和Firenze计算机上已安装证书的列表。
9、创建一个新的Web侦听器:
名称:外部Web443
证书:mail.contoso.com
网络:外部
A、在左窗格中,选择“防火墙策略(ITALY)。
B、在任务窗格的”工具箱“选项卡上,从“网络对象”部分右键单击“Web侦听器”,然后单击“新建Web侦听器”。
C、在“新建Web侦听器定义向导”对话框中的“Web侦听器名称”文本框中,键入“外部Web443”,然后单击“下一步”。
D、在“IP地址”页面上,选择“外部”,然后单击“下一步”。
E、在“端口指定”页面上,填写以下信息:
启用HTTP:禁用
启用SSL:启用
SSL端口:443(默认)
然后单击“选择”。
如果 ISA Server控制台在所有阵列成员上均找不到匹配的服务器身份验证证书,则不会显示“选择证书”对话框。
F。在“选择证书”对话框中,选择“mail.contoso.com ”证书,然后单击“确定”。
G、在”端口指定“页面上,单击“下一步”。
H、在“正在完成新建Web侦听器向导”页面上,单击“完成”。此时,就创建了一个新的Web侦听器,其名称为“外部Web443”(使用mail.contoso.com 证书,端口为SSL端口443,位于“外部”网络上。
10、创建OWA邮件服务器发布规则:
名称:发布邮件(OWA)
Web邮件服务器:denver.contoso.com
公共名称:mail:contoso.com
Web服务器:外部443
A、 在右窗格中,选择性第一个规则,以指示新规则将添加到规则列表中的位置。
B、 在任务窗格中的“任务”选项卡上,单击“发布邮件服务器”。
C、 在“新建邮件服务发布规则向导”对话框的“邮件服务器发布规则名称称”文本框中,键入“发布邮件(WOA)”,然后单击“下一步”。
D、 在选择“访问类型” 面上,选择“Web客户端访问:Outlook Web Access(OWA),Outlook Mobile Access,Exchange Server AciveSync”,然后单击“下一步”
该向导页的其余部分是通用“SSL Web”发布规则向导的专门版本。
E、 在“选择服务”页面上,填写以下信息:
Outlook Web Access:启用(默认)
Outlook Mobile Access:禁用(默认)
Exchange ActiveSync:禁用(默认)
启用非英文字符集使用用的高字节字符:启用(默认)
然后单击“下一步”
F、 在“桥节模式”选项卡上,分别单击三个选项,以检查三种OWA发布方案有何区别。
黄色锁定图标表示HTTPS(SSL)连接。非黄色锁定 标表示HTTP连接。
G、 在“桥接模式”选项卡上,选择“加密到客户端和邮件服务器的连接”,然后单击“下一步”。
H、 在“指定WEB邮件服器”页面上的“WEB邮件服务器”文本框中,键入denver.contoso.cocm,然后单击“下一步”。
Web邮件服务器的指下名称必腼腆与Denver Web服器上的证书中的名称完全区配否则,客户端计算机的Internet Explorer将无法连接,并且会显示一条错误消息(500内部服务器错误—目标主体名称不正确)
I、 在“公共名称细节”页面上,填写以下信息:
按受请求:此域名(在以下输入):
公共名称:mail.contoso.com
然后单击“下一步”。
指定的公共域必须与Florence上证书中的名称安全匹配。否则,正在连接的客户端计算机 显示一条安全警报消息(安全证书上的名称无效)。
J、 在“选择WEB侦听器”页面上,从“WEB侦听器”列表框中选择”外部WEB443“,然后单击“下一步”
K、 在“用户集”页面上,单击“下一步”
L、 在“完成新了件服务器发 规则向导”上,单击“完成”。
此时,创建了一个新的WEB发布规则,该规则将denver.contoso.com网站上的三个OWA虚拟目录发 为“外部”网络上的mail.contoso.com。
11、考察名为“发布邮件(OWA)”的新OWA邮件服务器发布规则。
A、在右窗格中,右键单击“发布邮件(OWA)”,然后单击“属性”。
B、在“发布邮件(OWA)属性”对话框中,选择“到”选项卡。
OWA 要求将初始主机头( [url]Https://mail.contoso.com[/url])转让发给发布的邮件服务器(Denver)。
C、选择“通讯”选项卡。
OWA发布规则只充许HTTPS访问,而不充许HTTP访问。
D、选择“路径”选项卡。
OWA发布规只充许访问OWA所需的三个虚拟目录(/exchange /exchweb和/public)。
E、选择“侦听器”选项卡。
证书名称(mail.contoso.com)与“公共名称”选项卡上的名称完全匹配。
F、选择“桥接”选项卡。
ISA SERVER将传入的请求重定赂到SSL端口,它将新建从ISA SERVER到Denver的SSL连接。“到”选项卡上的名称与Denver计算机上该证书中的名称完全匹配。
G、单击“取消”以关闭“发布邮件(OWA)属性”对话框。
12、应用新规则。
A、在右窗格中,单击“应用”以应用该新规则,然后单击“确定”。等待,直到CSS状态变为“已同步”。
此时,将应用新的“发布邮件(OWA)”规则。
在Denver计算机上执行以下步骤。
13、在Denver计算机上,将IIS配置为要求对OWA所用的虚拟目录使用SSL:
/Exchange
/ExchWeb
/Public
A、 在Denver计算机上,依次单击“开始”菜单、“管理工具”,然后单击“Internet 信息服务(IIS)管理器”此时将打开“IIS管理器”控制度台。
B、 在“IIS管理器”控制度台中,展开“默认网站”,右键单击“Exchange”,然后单击“属性”。
/exchange /exchweb和/public是Outlook Web Access(OWA)使用的三个虚拟目录。
C、 在“Exchange属性”对话框的“目录安全性”选项卡上,单击“安全通信”框中的“编辑”。
D、 在“安全通信”框中,启用“要求安全通信(SSL)”,然后单击“确定”。
既然为IIS配置了WEB服务器证书,就应充许只通过安全访问方式(HTTPS)访问OWA虚拟目录。
E、 单击“确定”以关闭“Exchange属性”对话框。
对/ExchWeb虚拟目录重复同样的步骤。
F、 右键单击“ExchWeb”,然后单击“属性”。
G、 在“ExchWeb属性”对话框的“目录安全性”选项卡上,单击“安全通信”框中的“编绢”。
H、 在“安全通信”框中,启用“要求安全通道(SSL)”,然后单击“确定”。
I、 单击“确定”以关闭“ExchWeb属性”对话框。
对/Public虚拟目录重复同样的配置步骤。
J、 右键单击“Public“,然后单击“属性”。
K、 在“ExchWeb属性”对话框中的“目录安全性”选项卡上,单击“安全通信”框中的“编缉“。
L、 在“安全通信”框中,启用“要求安全通信(SSL)”,然后单击“确定”。
M、 单击“确定”以关闭“Public属性”对话框。
N、 关闭“IIS管理器”控制台。
在Istanbul计算机上执行以下步骤。
14.在Istanbul计算机上,使用Internet Explorer安全地连接到 [url]https://mai.contoso.com/exchange[/url]
发送一封电子邮件给Administrator,以测试与ISA SERVER 的安全OWA连接。
A、 在Istanbul计算机相,打醋Internet Explorer。在“地址”框中,键入 [url]http://mail.contoso.cocm/exchange[/url],然后按Enter键。
此时将显示mail.contoso.com的身份验证对话框。
注意:在Istanbul上,mail.contoso.com只解析为39.1.1.1(Florence)。本练习后面将不会用到Firenze。
B、 在“连接到mail.contoso.com”对话框中,填写以下信息:
用户名:Administrator
密码:password
记信密码:禁用(默认)
然后单击“确认”。
InternetExplorer将显示Administrator的Outlook Web Access收件箱。屏幕底部的黄钯锁定图标表示该链接使用SSL
注意:Denver CA的根证书已作为受信任根下书安装在Istnbul上。
C、 OWA的工具书栏上,单击“新建”。
D、 在“新建邮件”窗口中,填写以下信息:
收件人: Administraotr
主题:测试通过安全OWA的邮件-2
(邮件):使用安全OWA发布Exchange
然后单击“发送”。
Internet Explor即会发送该邮件。
大约几分钟之后,收件箱中就侍出现一封建新邮件。这一结果表明,Internet Explorer已使用与ISA Server的安全OWA连接成功地连接到Denver上的Exchange Server。
E、 几分钟后,单击左窗格中的“收件箱”,以刷新收件箱中的内容。
F、 关闭Internet Explorer。
注意:在下面的步骤中,将配套置基于OWA窗体的身份验证。使用基于OWA窗体的身份验证的优点在于,身份验证的凭借据不会被缓存在客户端计算机上。如果用户使用公用计算机进行连接,这一点监理所要。在打开OWA连接时,凭借据信息将被保存在(临时)会话Cookie中。
在Florence计算机执行以下几点步骤。
15、在Florence计算机上,将“外部Web443”Web侦听器配置为使用“基于OWA客体”的身份验证。
A、在Florence计算机上,在ISA Server控制度台的左窖格中,对“防火墙策略(ITALY)”
B、在任务窗格的“工具箱”选项卡上,从“风络对象”部分展开”web侦听器“,右键单击“外部Web 443”然后单击“属性”
C、在“外部 Web 443属性”对话框的“首选项”选项卡上,单击“身份验证”
D、在“身份验证”对话框中,从“方法”列表中禁用“集成”。
此时将显示一个警告消息框,因为当前没有选择身份验证方法。
E、在警告消息框中,单击“确定”以确认当前要求身份验证的请求将被拒绝。
F、在“身份验证”对话框中,从“方法”列表中启用“基于OWA窗体”,然后单击“配置”。
“基于OWA窗体的身份验证”对话框允许指定“空闲会话超时”值,并允许为公共计算机上的客户端浏览器和私有计算机上的客户端浏览器在用“拦截电子邮件附近件”。
G、 单击“取消”以关闭“基于OWA窗体的身份验证”对话框。
H、 单击“确定”以关闭“身份验证”对话框。
I、 单击“确定”以关闭外部Web 443“属性”对话框。
至此,已将Web侦听器配置为使用“基于OWA窗体”的身份验证。
J、 单击“应用”以应用所做的更改,然后单击“确定”。等待,直到CSS状态变为“已同步”。
在Istanbul计算机上执行以下步骤。
16、在Istanbul计算机上,使用Internet Explorer再次安全地连接到 [url]http://mail.contoso.com/exchange.[/url]
A、在Istanbul计算机上,打开Internet Explorer,在“地址”框中,键入 [url]http://mail.contoso.com/exchange[/url],然后按Enter键。
此时将显示“Exchange Server 2003 OWA身份验证“页面。
B、在“OWA身份验证”网页上,填写以下信息:
域\用户名:contoso\administrator
密码:password
客户端:Premium(默认)
安全性:私用计算机
然而后单击“登陆”
当使用“基于OWA窗体”的身份验证时,用户需要指明客户端浏览器是在公用计算机上,还是在私有计算机上。Internet Explorer会显示Outlook Web Access收件箱。
C、关闭Internet Explorer
注意:需要执行以任务来避免与其他实验室练习产生冲突。
在Florence计算机上执行以下步骤。
17、在Florence计算机上,将“外部Web 443” Web侦听器配置为使用“集成”的身份验证。
A、在Florence计算机相,在ISA Server控制台的左窗格中,选择“防火墙策略(ITALY)”。
B、在任务窗格的“工具箱”选项卡上,从“网络对象”部分展开“Web侦听器”,右键单击“外部Web 443”,然后单击“属性”.
C、在“外部Web 443属性”对话框的“首选项”选项卡上,单击“身份验证”。
D、在“身份验证”对话框中,从“方法”列表中禁用“基于OWA窗体”。
此时将显示一个警告消息框。
E、在警告消息框中,单击“确定”以确认当前要求身份验证的请求将被拒绝。
F、在“身份验证”对话框中,从“方法”列表中启用“集成”。
G、单击“确定”以关闭“身份验证”对话框。
H、单击“确定”以关闭“外部Web 443属性”对话框。
Web侦听器现在已经被配置为使用用默认设置,即“集成”的身份验证。
I、单击“应用”以应用所做的更改,然后单击“确定”。等待,直到CSS状态变为“已经同步”。
230
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
