Infra - Exchange Server

Habilitando SSL no OWA sem usar Certificado Digital Comercial

Atualmente o uso de SSL está aumentando devido a preocupação das empresas com a segurança, vamos ver aqui como habilitamos o uso do SSL em um servidor Exchange sem precisar comprar um Certificado Digital de uma Certificadora, a segurança diminui com isto, mas mesmo assim a senha na hora da autenticação estará segura e protegida pelo SSL.

por Anderson Patricio


Overview

Atualmente o uso de SSL está aumentando devido a preocupação das empresas com a segurança, vamos ver aqui como habilitamos o uso do SSL em um servidor Exchange sem precisar comprar um Certificado Digital de uma Certificadora, a segurança diminui com isto, mas mesmo assim a senha na hora da autenticação estará segura e protegida pelo SSL.

Solução

Como não vamos trabalhar com um Certificado Digital de uma Certificadora Digital devemos baixar o selfssl que vem no Internet Information Service 6.0 Resource Kit Tools, ele pode ser encontrado no site http://www.microsoft.com/downloads, o executável se chama iis60rkt.exe e tem aproximadamente 5989KB.

Depois de feito o download do Resouce Kit Tool para o IIS 6.0, devemos instalá-lo na máquina Exchange OWA. A instalação é padrão, instale na forma completa.

Depois de instalado o Resource Kit Tool do IIS 6.0, devemos efetuar os seguintes passos:

  1. Abrir o SelfSSL, como mostra a figura abaixo:

Depois de clicarmos no SelfSSL, será aberto a janela abaixo no prompt de comando, com todas opções possíveis do SelfSSL por linha de comando.

  1. Devemos gerar o Certificado Digital, utilizando a seguinte linha de comando:
    selfssl.exe /n:CN=Srv-modelo /V:730
    Onde: Srv-Modelo é o nome do meu servidor OWA e 730 é o número de dias de validade do Certificado Digital.
    Depois de digitar o comando e pressionar Enter, a seguinte tela tela aparecerá:

Com isto geramos o certificado no site id 1. (Padrão)

  1. Agora podemos testar o SSL do OWA, digitando https://<servidor-owa>/exchange, onde servidor-owa é o servidor ao qual estamos fazendo estas configurações.
    Será apresentado na tela do browser uma solicitação para aceitar o certificado digital, tal como esta:

Security Alert:Aviso do Internet Explorer informando que não foi possível validar a Certificadora Digital e se desejamos utilizá-lo. A resposta é Yes.

View Certificate: neste botão mostra as informações do Certificado, dizendo que a certificadora é o próprio Srv-Modelo e a o período de validade do certifiado (730 dias).

  1. Com isto conseguimos implementar o SSL no servidor, mas o Exchange ainda está aceitando o tráfego http (porta 80), para negarmos este tipo de acesso e forçarmos o cliente acessar somente a porta 443 segura (SSL), devemos marcar esta opção no diretório virtual Exchange dentro do IIS.

Com isto nos certificamos que o OWA irá funcionar somente com a utilização do SSl (porta 443), caso o usuário tente acessar via http a seguinte mensagem será informada:

Uma outra forma plausível é não marcar a opção Require secure channel (SSL) e na página http padrão fazer um arquivo .asp que redireciona para o SSL.

Conclusão

Com os procedimentos mostrados neste artigo aprendemos como criar um OWA utilizando SSL e proibindo os usuários de acessarem o OWA via Http que é uma falha de segurança para a organização.
Anderson Patricio

Anderson Patricio - Trabalha com informática desde 1995, é consultor Microsoft em projetos de Active Directory, Exchange e ISA pela Quattuor Informática em Porto Alegre.
Certificações: MCSE +M +S 2003, MCSE +M +S 2000, MCSA +M +S 2003, MCSA +M +S 2000
Blog: http://spaces.msn.com/members/andersonpatricio/