Bảo mật Outlook Web Access dùng SSL

Trong bài này chúng ta sẽ xem xét cách bảo mật truy cập OWA dùng Secure Socket Layers (SSL) như thế nào.

Bảo mật Outlook Web Access 2000 dùng SSL

Outlook Web Access (OWA) đã trở thành một thành phần rất quan trọng của Exchange. Nhiều công ty triển khai OWA nhằm cho phép người dùng khả năng truy cập thư điện tử gần như từ bất cứ đâu.

Nội dung trong bài là cách triển khai OWA làm sao cho an toàn hơn với Secure Socket Layers (SSL). Chúng ta sẽ dùng Instant SSL (http://www.instantssl.com/) với vai trò là tổ chức thuộc nhóm thứ ba đáng tin cậy. Bạn có thể tạo chứng chỉ (certificate) riêng của mình bằng cách dùng Microsoft Certificate Server.

InstantSSL cung cấp nhiều gói khác nhau tuỳ thuộc vào giá cả và mức tổng hợp. Bạn nên kiểm tra website của họ để biết được mức giá mới nhất và nên sử dụng bản nào.

1. Dùng Internet Services Manager.

2. Kích phải chuột lên website có thành phần OWA của bạn (được ghi mặc định là "Default Web Site") và mở các thuộc tính của nó (Properties).

3. Chọn "Directory Security" và kích vào "Server Certificates". "Web Server Certificates Wizard" xuất hiện, kích vào Next.

4. Trên hộp thoại "Server Certificate" (bên dưới), chúng ta sẽ chọn "Create new certificate", kích Next.

5. Trong hộp thoại "Delayed or Immediate Request" (bên dưới), chọn "Prepare the request now, but send it later". Chúng ta sẽ gửi yêu cầu chứng chỉ tới một nhóm thứ ba, trong trường hợp này là InstanSSL. Kích Next.

6. Hộp thoại "Name and Security Settings" xuất hiện (bên dưới). Cung cấp tên cho chứng chỉ mới của chúng ta và chọn mức bảo mật sẽ dùng (bạn không nên chọn quá mức 1024 vì nó sẽ gây ra tác động có hại cho thực thi trên server của bạn). Kích Next.

7. Hộp thoại "Organization Information" (bên dưới) yêu cầu nhập tên tổ chức. Đây là tên sẽ xuất hiện trong các văn bản hợp pháp vì nó cũng là tên xuất hiện trong chứng chỉ của bạn. Đơn vị tổ chức này có thể là một khu vực, văn phòng hoặc đơn vị kinh doanh trong công ty bạn.

8. Trong hộp thoại "Your Site's Common Name" (bên dưới), chúng ta phải nhập FQDN của web server.

9. Sau đó đến hộp thoại "Geographical Information" (bên dưới). Bạn cần phải nhập tên tỉnh hoặc bang (ở Mỹ) vào ô State một cách đầy đủ. Chẳng hạn phải nhập "New York" thay vì chỉ "NY". Điều này là rất quan trọng. Tên viết tắt nhập trong ô State sẽ bị loại bỏ ở giai đoạn cuối của Certificate Wizard.

10. Bước cuối cùng là mô tả vị trí của Certificate Request File. Bạn phải ghi nhớ thông tin này (vị trí nào và gọi là gì) vì bạn sẽ cần copy dữ liệu từ file này để gửi sang tổ chức thuộc nhóm thứ ba.

11. Hộp thoại "Request File Summary" xuất hiện (bên dưới). Kiểm tra lại để đảm bảo mọi thứ đều ổn và kích vào Next.

Bây giờ chúng ta đã tạo ra một yêu cầu chứng chỉ "Certificate Request". Nó sẽ được dùng trong CSR gửi tới InstantSSL.

Khi bạn yêu cầu một chứng chỉ từ InstantSSL, họ sẽ hỏi bạn cung cấp yêu cầu chứng chỉ (Certificate Request). Điều này được thực hiện bằng cách "dán" nội dung của file chúng ta vừa tạo vào một form khi bạn xin chứng chỉ.

Mỗi lần đưa ra yêu cầu chứng chỉ, bạn phải mất một khoảng thời gian chờ họ thực hiện yêu cầu, thông thường là một vài giờ. Nhưng trong vòng 24 tiếng, nhà cung cấp chứng chỉ sẽ gửi thông báo nhận của họ qua e-mail tới nơi liên hệ kỹ thuật bạn mô tả trong form đã gửi.

Khi bạn nhận được e-mail kiểm chứng từ nhà cung cấp thuộc nhóm thứ ba, họ cũng sẽ gửi kèm hướng dẫn về cách cài đặt chứng chỉ.

Thêm SSL vào trang OWA

Bây giờ bạn đã nhận được chứng chỉ từ InstantSSL. Chúng ta sẽ tiếp tục cài đặt OWA và đòi hỏi phải dùng đến SSL.

1. Mở Internet Explorer Services Manager từ thành phần Administrative Tools.

2. Mở phần Properties của website có OWA (thường là Default Web Site).

3. Chọn "Directory Security" và kích vào nút "Server Certificates".

4. Hộp thoại "Pending Certificate Request" xuất hiện (bên dưới), chọn "Process the pending request and install the certificate". Kích Next.

5. Hộp thoại "Process a Pending Request" xuất hiện (bên dưới). Xác định vị trí chứng chỉ (Certificate) bạn nhận được từ nhóm thứ ba. Kích Next.

6. Tiếp theo bạn sẽ thấy hộp thoại "Certificate Summary" xuất hiện (bên dưới). Nếu mọi thứ đều ổn, kích Next.

Chúng ta đã cài đặt xong chứng chỉ SSL vào website. Bước tiếp theo là cho phép SSL trong OWA, một nhiệm vụ cũng khá đơn giản.

1. Dùng Internet Services Manager, mở phần thuộc tính (Properties) của thư mục ảo "Exchange".

2. Chọn "Directory Security" và kích vào nút "Edit" trong phần Secure Communication.

3. Trong hộp thoại "Secure Communication", đánh dấu hộp "Require Secure Channel (SSL)". Bạn cũng có thể đánh dấu hộp "Require 128-bit encryption". Nếu bạn đánh dấu hộp 128-bit, bất kỳ trình duyệt nào không hỗ trợ mã hoá 128-bit sẽ không được kết nối tới OWA.

Bây giờ, khi người dùng nhập đường dẫn http://ahost.adomain.com/exchange, họ sẽ nhận được thông báo lỗi “HTTP 403.4 – Forbidden: SSL required Internet Information Services” vì chúng ta đã cấu hình owa OWA đòi hỏi phải có SSL. SSL sử dụng giao thức HTTPS, vì thế người dùng cần phải nhập đường dẫn url là: https://ahost.adomain.com/exchange. Bạn có thể tham khảo thêm bài sử dụng SSL với OWA của Microsoft.

Cuối cùng là bạn cần bảo đảm rằng tường lửa của bạn đã được cấu hình cho phép HTTPS đi qua (cổng mặc định 443).

Thực hiện tất cả các bước trên, OWA sẽ được an toàn.