Sorvezető
By JoeP
Ha ISA 2006 szerveren keresztül szeretnénk Exchange 2007 webszolgáltatásokat kipublikálni, ahhoz ma már nem kell remegÅ‘ kézzel nekifogni. Az internet tele van cikkekkel, Ãrásokkal, tényleg minden információ begyűjthetÅ‘. Konkrétan itt van egy MS cikk, ez alapján nem lehet semmi gond.
Vagy mégis?
Nos, amennyiben az Exchange szervered alatt Windows Server 2008 fut, akkor azért fognak érni meglepetések.
Nem akarom végig leÃrni a folyamatot, az emlÃtett cikk tényleg nagyon jó. Itt inkább csak a buktatókat gyűjteném össze.
ElÅ‘ször is, a Windows 2003-as CA szerver nem fog tudni neked SAN tanúsÃtványt gyártani. A következÅ‘ paranccsal lehet erre rábeszélni:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
Majd újra kell indÃtani a Certification szolgáltatást.
Oké. Fogod, elindÃtod a böngészÅ‘t az Exchange szerveren, rácsatlakozol a http://ca-server.cegnev.hu/certsrv/ weblapra - és már nem emlékszem pontosan, mit kapsz válaszul, de nem a megszokott nyitólapot. Valami olyasmit mond, hogy ez a tartalom a számodra nem érhetÅ‘ el.
Kedves.
A magyarázat itt található: http://support.microsoft.com/kb/922706.
A Windows Server 2003 alatti tanúsÃtványosztogató weblap olyan activex kontrollt használ, melyet a Windows Server 2008 / Vista undorral lök el magától. A megoldás: fel kell telepÃteni egy patch-et a CA szerverre, hogy úgy is tudjon tanúsÃtványt osztogatni, ahogy az újabb fiúk kérik.
Akkor most már mehetünk is vissza a weblapra. De mégsem. Azt mondja, immár a helyi böngésző, hogy a CA weblapjának https-en keresztül kellene jönnie. Addig ő nem fogja megmutatni a tartalmat.
KitérÅ‘: Szeneslapáttal igazÃtanám meg a frizuráját annak, aki ezt az egész nevetségesen idióta ‘Enhanced Security’ módú Internet Explorert kitalálta. Tipikusan az, amikor átesünk a ló túloldalára: használhatatlanná tesszük a terméket és a végtelenségig elbonyolÃtjuk az egyébként is meglehetÅ‘sen érthetetlen konfigurálást. Ráadásul úgy tudom, W2k8 szerver alatt kikapcsolhatatlan - miközben ott már épp elég védelmet jelentene az UAC is. Amióta ez van, azóta az az elsÅ‘, hogy telepÃtem a Firefox-ot a szerverekre is. Szerveren úgyse nézeget az ember pornó oldalakat.
Fogcsikorgatás. Nyilván valahol át kell kattintani valamit, melynek a neve még csak nem is utal arra, hogy mit befolyásol. Szerencsére itt van a net, ahol egy sorstárs már megtalálta rá a workaround-ot.
Hurrá. Elérhető lett a CA weblapja.
Lehetne igényelni az Exchange tanúsÃtványát… de ez mégsem ennyire egyszerű. Amennyiben az Exchange szerverünk Windows Server 2003 alatt fut, akkor - ahogy a cikk is Ãrja - powershell-bÅ‘l tudunk tanúsÃtványt generálni. Csakhogy jelen esetben már W2k8 az alap, ezen már van grafikus felület is. Összedobunk egy custom MMC konzolt, felvesszük bele a Certificates (local machine) snapin-t. A Personal folderen jobbkattintunk, majd a lenti képen elmegyünk a ‘Create Custom Request’ menüponthoz.
Tulajdonképpen mehetnénk a ‘Request New Certificate’ menüpontba is, hiszen itt van, LAN-on belül a CA szerver, mindenki domaintag, ne kelljen már bináris fájl tartalmát kopipasztázgatni. Mehetnénk… de nem működik. A varázsló második ablakán minden szürke - és közli, hogy nekem bizony nincs lehetÅ‘ségem webserver tanúsÃtványt igényelnem. Márpedig hidd el nekem, hogy ha nekem nincs meg ez a jogom, akkor senki másnak sem.
Marad a custom request.
Maga az igény összerakása nem túl bonyolult, egy kicsit szokni kell az újfajta grafikus elemeket, de nem vész. Rá kell kattintani minden izére, meg bigyóra, megnézni, mi is van mögöttük. (Shinder bácsi Ãrása elég jól képbe rakhat bárkit.)
Az alábbi ábrán azt a részt emelném ki, amitÅ‘l SAN lesz a tanúsÃtvány.
Igen, az alternatÃv nevek. Ahogy az elÅ‘zÅ‘ linken is van - meg máshol is - beÃrtam a Subject mezÅ‘be CN-ként a külsÅ‘ nevet, az Alternative Name alá meg az összes szóbajöhetÅ‘ lehetÅ‘séget, beleértve azt is, hogy bentrÅ‘l esetleg rövid névvel nyomul valaki. Amit a Subject mezÅ‘be Ãrtam, azt nyilván már nem Ãrtam be az Alternative Name alá is. Aztán végigmentem a láncon, igényeltem, kiadtam, importáltam, majd exportáltam végül megint importáltam… szóval ahogy az elsÅ‘ linken szépen le van Ãrva - végül jött kintrÅ‘l az OWA teszt.
Nem sikerült. Azt Ãrta ki, hogy a tanúsÃtvány nem erre a weblapra szól. A Firefox ennél imformatÃvabb volt, kiÃrta azt is, hogy mely weblapokra lenne jó ez a tanúsÃtvány: csak azokra, amelyek az Alternative Name mezÅ‘ben szerepeltek. A Subject, az nem jött szóba.
Hozzáteszem, nem vagyok tanúsÃtvány guru. Fogalmam sincs, mennyire kötelezÅ‘ a Subject alatt CN tipusúnak megadni a nevet, nem tudom, lehet-e ott is DNS formátumot használni. Mindenesetre az egyszerűbb utat választottam, az Alternative Name alá is bedobtam a külsÅ‘ nevet - ahogy az ábrán is láthatod. Működött.
By JoeP 
július 16, 2009 at 22:40
Tags: exchange 2007, ISA Posted in: pki
6 Responses
Kikapcsolható az IE Enhanced Security Server2008-on is, a Server Manager nyitóoldalán a “Configure IE ESC” linkre kattintva.
http://blogs.techrepublic.com.com/datacenter/?p=255
Köszönöm. Szerintem most sok redmondi fejlesztő felmenőit mentetted meg egy életük végéig szóló csuklásrohamtól.
A jo oreg PKI. Es meg mindig csak bonyolitjak. Mindig megkerdezem, hogy van ezt meg hova? Es mindig megmutatjak.
Bezony, ezt én is elég hamar megtanultam: a SAN listába BE KELL RAKNI AZ EREDETI SN-t is. Pont.
Pusztan az archivum kedveert, leirnad ide azt a workaroundot? A hivatkozott webcim vagy megszunt, vagy nem tudom, de az adott forum fooldala jon be helyette… :S
Itt valami nagyon csúnya dologba nyúlhattam bele. A cikket tényleg levették a lapról, de amikor rákerestem a google-ben a cikk cÃmére, a három találatból egy sem élt, sÅ‘t, még a google sem cachelte le.
Milyen titkos anyag lehetett benne?
A rossz hÃr az, hogy fejbÅ‘l én se tudom. Valami bizbasz kis checkboxot kellett bekattintani az IE opciók között, egy olyat, amelyiknek köze sem volt látszólag a hibához. Ráadásul most meg se tudom nézni, mert nem férek hozzá a rendszerhez.
Leave a Reply