Exchange Certificates
Certificate ها از نظر سرور صادر کننده، به سه نوع تقسیم می شوند:
الف- Public Certificate: این نوع Certificate از طرف Trusted Third-Party Certificate Server صادر می شود و کلاینت ها به صورت اتوماتیک به آن Trust می کنند.
ب- Public Key Infrastructure (PKI): این نوع Certificate از طرف CA داخلی صادر می شود.
ج- Self-Signed Certificate: این نوع Certificate توسط خود Application (در اینجا خود Exchange) صادر می گردد.
Certificateها به دو منظور مورد استفاده قرار می گیرند:
۱- فرآیند Authentication کلاینت ها
۲- فرآیند Encryption دیتای مورد تبادل میان کلاینت و سرور با استفاده از پروتکل SSL یا TLS
Exchange به صورت Default، از Self-Sign Certificate استفاده می کند که البته گزینه مناسبی برای Publish کردن قابلیت های مختلف Exchange، از قبیل OWA، Outlook Anywhere و… بر روی اینترنت نیست.
هنگامی که Exchange 2019 نصب می شود، هنگام فرآیند نصب، یک Self-Sign Certificate ایجاد می گردد و این Certificate، به تمامی سرویس های ارائه داده شده توسط Exchange، واگذار (Assign) می شود.
سرویس های OWA، EAC، Web Services، ActiveSync، Autodiscover، AOB، همچنین POP، IMAP و SMTP، به علت استفاده از پروتکل TLS، نیازمند بکارگیری Certificate هستند.
نام Self-Sign Certificate صادر شده، FQDN و NetBIOS Name متعلق به سرور Exchange خواهد بود. یعنی در قسمت Subject Alternative Names در Self-Sign Certificate، هم FQDN و هم NetBIOS Name متعلق به سرور Exchange قرار دارد
در Exchange، می توان برای صدور دو نوع Certificate، درخواست داد:
-
Wildcard Certificate: این نوع Certificate، برای Secure نمودن یک Domain و تمامی First-Level Subdomain های آن بکار می رود. بطور مثال یک Wildcard Certificate برای Secure نمودن *.example.com، می تواند برای example.com، mail.example.com و… بکار برده شود. در حالی که یک Standard Certificate، تنها می تواند بطور مثال www.example.com را Secure کند و برای mail.example.com باید یک Standard Certificate دیگر صادر شود
نکته: Wildcard Certificate دارای برخی از ریسک های امنیتی است و برخی از سرویس ها نیز با این نوع Certificate کار نمی کنند.
-
SAN Certificate (Subject Alternative Name): با استفاده از این نوع Certificate، می توان بیش از یک نام را در یک Certificate واحد، مورد استفاده قرار داد. این نوع Certificate در برخی از Public CA ها به عنوان UCC Certificate نیز شناخته می شوند.
درخواست یک Certificate برای Exchange
برای ایجاد درخواست یک Certificate در Exchange:
EAC ——> Servers ——> Certificates TAB
بر روی +، کلیک می کنیم. گزینه:
Create a request for a certificate from a certificate authority
را انتخاب می کنیم. در قسمت Friendly name for this certificate، یک نام دلخواه برای Certificate انتخاب می کنیم
در قسمت بعد، چک مارک Request a wildcard certificate را در صورتی می زنیم که بخواهیم یک Wildcard Certificate برای Exchange دریافت کنیم. اما به دلیل مشکلاتی که این نوع Certificate دارد و پیش تر به آن اشاره شد، این چک مارک را نمی زنیم و درخواست Certificate از نوع SAN را صادر خواهیم کرد. در مرحله بعد، بر روی Brows کلیک می کنیم و سرور MBX مورد نظر را برای نگهداری درخواست Certificate، تعیین می کنیم.
برای دسترسی به سرویس های OWA، EAC، ActiveSync، Outlook Anywhere و OAB از شبکه های داخلی و اینترنت، ممکن است از یک URL مشترک یا دو یا چند URL مختلف استفاده شود. بطور مثال ممکن است برای دستیابی به OWA و نیز سایر سرویس ها از داخل شبکه، از یک URL و از خارج از شبکه، از یک URL دیگر استفاده شود و یا برای برخی از سرویس ها از URL متفاوتی از داخل و خارج شبکه، استفاده شود. در هر صورت، تمامی آدرس هایی که برای دستیابی به سرویس های مختلف Exchange از آنها استفاده می شود، باید در این نوع Certificate، گنجانیده شود. به این منظور در قسمت:
Specify the domains you want to be included in your certificate
بر روی سرویس های مختلف کلیک می کنیم و آدرس دستیابی به آنها را از شبکه داخلی و از اینترنت، وارد می کنیم.
نکته: تنها سرویس Autodiscover است که در URL دستیابی به آن، چه از شبکه داخلی و چه از اینترنت، حتما” باید با رکورد Autodiscover آغاز شود (مثلا” Autodicover.company.com) چرا که این نوع URL در Outlook، بصورت Hard Code، قرار دارد.
در مرحله بعد می توان Domain های انتخاب شده در مرحله قبل را مشاهده کرد، به آنها افزود و یا از آنها کاست.
در قسمت Provide information about your organization، اطلاعات سازمانی مورد نیاز، وارد می گردد. در انتها، فایل درخواست Certificate، در یک Shared Folder، ذخیره می گردد.
فایل درخواست Certificate را با Notepad باز می کنیم و تمامی محتویات آن را کپی می کنیم.
دریافت Certificate از CA شبکه داخلی:
کنسول Web سرور CA شبکه را باز می کنیم (مثلا” http://10.0.0.1/certsrv) و بر روی Request a Certificate کلیک می کنیم. در قسمت بعد، بر روی advanced certificate request کلیک می کنیم. در قسمت Advanced Certificate Request، گزینه دوم را انتخاب می کنیم.در قسمت Submit a Certificate Request or Renewal Request در باکس Saved Request، محتویات فایل درخواست Certificate را که قبل” کپی کرده بودیم، Past می کنیم و از منوی Certificate Template، گزینه Web Server را انتخاب می نماییم و بر روی Submit کلیک می کنیم. در قسمت Certificate Issued، گزینه DER را انتخاب می نماییم و بر روی Download Certificate کلیک می کنیم و فایل Certificate را در یک Shared Folder، ذخیره می کنیم.
مجددا” در EAC، به قسمت Certificates باز می گردیم. درخواست Certificate را که قبلا” ایجاد نموده بودیم، انتخاب نموده و در ستون سمت راست، بر روی Complete کلیک می کنیم و آدرس Shared Folder که فایل Certificate دریافت شده از CA، در آن قرار گرفته است، وارد می کنیم و بر روی Ok کلیک می کنیم.
اکنون این Certificate نصب شده است و باید Service های مورد نظر را به آن Assign کنیم. به این منظور Certificate نصب شده را Edit می کنیم و در Service TAB، سرویس های مورد نظر را انتخاب می کنیم.
نکته: اگر بخواهیم Certificate را از یک Public CA، دریافت کنیم. تمامی مراحل فوق الذکر، به جز مرحله دریافت Certificate از CA شبکه داخلی را انجام می دهیم و محتویات کپی شده فایل درخواست را در فرم متعلق به Public CA، کپی می کنیم.
اختصاص URL های ایجاد شده در Certificate به سرویس های Exchange
الف- Outlook Anywhere: برای اختصاص URL های Outlook Anywhere در شبکه داخلی و در اینترنت:
EAC ——> Servers ——-> Servers TAB
سرور موجود در این قسمت را Edit می کنیم. در Outlook Anywhere TAB، در قسمت Specify the external host name، آدرس (URL) اینترنتی را که قبلا” در Certificate برای Outlook Anywhere، ایجاد کرده بودیم، وارد می کنیم و در قسمت Specify the internal host name، آدرس (URL) داخلی را که قبلا” در Certificate برای Outlook Anywhere ایجاد کرده بودیم، وارد می نماییم. در قسمت When connecting to your organization، گزینه Negotiate را انتخاب می نماییم و در انتها سرویس IIS را Restart می کنیم.
ب- Autodiscover: همانگونه که می دانیم، کلاینت هایی که عضو Domain هستند، در شبکه داخلی، از SCP برای بدست آوردن آدرس Autodiscover استفاده می کنند. به منظور پیکربندی نمودن SCP برای سرویس Autodiscover، در EMS، از cmdlet زیر استفاده می شود:
Set-ClientAccessService -Identity <NetBIOS Name of Exchange Server> -AutodiscoverServiceInternalUri https://<Name is set for Autodiscover in Certificate>/Autodiscover/Autodiscover.xml
برای کلاینت هایی که عضو Domain هستند اما در شبکه داخلی نیستند (دسترسی به DC برای چک کردن SCP ندارند) و یا کلاینت هایی که عضو Domain نیستند (چه در شبکه داخلی و چه در شبکه خارجی)، نیازی به پیکربندی آدرس Autodiscover وجود ندارد چرا که برای این نوع کلاینت ها، آدرس Autodiscover، با توجه به آدرس ایمیل کاربر، به صورت اتوماتیک، ایجاد می گردد.
ج- OWA: برای اختصاص URL های OWA، در شبکه داخلی و در اینترنت:
EAC ——> Servers ——-> Virtual directories TAB
بر روی OWA، کلیک می کنیم. آنگاه در general TAB، در قسمت Internal URL، آدرس (URL) داخلی را که قبلا” در Certificate برای OWA ایجاد کرده بودیم، وارد می کنیم و در قسمت External URL، آدرس (URL) اینترنتی را که قبلا” در Certificate برای OWA ایجاد کرده بودیم، وارد و با /owa همراه می نماییم.
د- EAC: برای اختصاص URL های EAC، در شبکه داخلی و در اینترنت:
EAC ——> Servers ——-> Virtual directories TAB
بر روی ecp کلیک می کنیم. آنگاه در general TAB، در قسمت Internal URL، آدرس (URL) داخلی و در قسمت External URL، آدرس (URL) اینترنتی را که قبلا” در Certificate برای ecp ایجاد کرده بودیم، وارد و با /ecp همراه می کنیم.
ه- ActiveSync: برای اختصاص URL های ActiveSync در شبکه داخلی و در اینترنت:
EAC ——> Virtual directories TAB
بر روی Microsoft-Server-ActiveSync کلیک می کنیم. آنگاه در general TAB، در قسمت Internal URL، آدرس (URL) داخلی و در قسمت External URL، آدرس (URL) اینترنتی را که قبلا” در Certificate برای ActiveSync ایجاد کرده بودیم، وارد می کنیم و با /Microsoft-Server-ActiveSync همراه می نماییم.
و- OAB: برای اختصاص URL های OAB، در شبکه داخلی و در اینترنت:
EAC —–> Servers ——-> Virtual directories
بر روی OAB، کلیک می کنیم. آنگاه در قسمت Internal URL، آدرس (URL) داخلی و در قسمت External URL، آدرس (URL) اینترنتی را که قبلا در Certificate برای OAB ایجاد کرده بودیم، وارد می کنیم و با /OAB همراه می سازیم.
ز- EWS (Exchange Web Service): EWS برخی از قابلیت های Exchange، نظیر Calendar Sharing را ارائه می دهد. برای اختصاص URL های EWS در شبکه داخلی و اینترنت:
EAC —–> Servers ——> Virtual directories TAB
بر روی EWS کلیک می کنیم. در general TAB، قسمت Internal URL، آدرس (URL) داخلی و در قسمت External URL، آدرس (URL) اینترنتی را که قبلا” در Certificate برای EWS، ایجاد کرده بودیم، وارد می کنیم و با /EWS/Exchange.asmx همراه می کنیم.
