Kako zaštititi Microsoft Exchange

SAN SSL
Ako koristite Microsoft Exchange onda vam je poznato da neke verzije ovog mail servera, tačnije Microsoft Exchange Server 2007, Exchange 2010 i Exchange 2013, zahtevaju SSL sertifikate kako bi se omogućila bezbedna konekcija sa serverom. Ovim vodičem pokušaćemo da vam približimo neke pojmove i olakšamo posao vezan za dobijanje SSL sertifikata za vaš Microsoft Exchagne server.

ŠTA JE SSL SERTIFIKAT?

SSL sertifikat je parče koda na vašem web serveru koje omogućava bezbednu online komunikaciju. Kada web browser uspostavi kontakt sa bezbednim sajtom, SSL sertifikat omogućava kriptovanu vezu. To je kao kad zapečatite koverat pre nego što ga pošaljete poštom. SSL sertifikati takođe ulivaju poverenje jer svaki SSL sertifikat sadrži podatke za identifikaciju. Kada pošaljete zahtev za izdavanje SSL sertifikata, treća strana (Symantec, Thawte ili GeoTrust) verifikuje podatke o vašoj organizaciji i izdaje vam jedinstveni sertifikat koji sadrži te podatke. Ovaj proces naziva se autentifikacija.

IZBOR PRAVE VRSTE SSL SERTIFIKATA ZA EXCHANGE

Postoje tri vrste SSL sertifikata pomoću kojih možete da zaštitite Exchange infrastrukturu: self-signed koje kreirate sami; Windows Public Key Infrastructure (PKI) sertifikati; i sertifikati pouzdanog, nezavisnog Sertifikacionog tela (još poznati i kao Javni sertifikati). Microsoft preporučuje da koristite SSL sertifikat pouzdane, nezavisne treće strane, odnosno sertifikacionog tela pre nego što pustite novi email server u produkciju.  Ako koristite sertifikate poznatih sertifikacioni tela, možete da izbegnete muke oko instaliranja sopstvenog root sertifikata na svakom klijentu koji će pristupati Exchange serveru. (Vaš help desk će vam biti zahvalan  na ovome, jer bi u suprotnom oni morali da konfigurišu zahteve svaki put kada novi mobilni uređaj i browser pokuša da se konetuje). Takođe vodite računa o tome da Outlook Anywhere protokol neće raditi sa self-signed sertifikatima.Microsoft Exchange

Imenovanje Exchange Servera

Pre nego što kupite i instalirate SSL sertifikate, morate da odredite fully qualified domain name (FQDN, još poznato i kao URL ili common name) za vaš server i da dodate to ime na Trusted Server listu u Active Directory. Vaš FQDN će izgledati otprilike ovako: mail.yourserver.com

Trebaće vam više od jednog FQDN za vaš server. Vaš server će najverovatnije da bude odgovoran za različite servise i moraćete da identifikujete svako moguće ime koje će koristiti drugi server ili klijent kada bude pokazivao na Exchange server. Evidentiranje Exchange common namesa u FQDN formatu je dobra ideja, ali imajte na umu da postoji nekoliko ograničenja. Common names mogu biti duži od 64 karaktera i ako FQDN shema imenovanja bude dugačka, nećete moći da uklopite vaš u common name standard. Common names podržavaju Unicode, dok je FQDN je limitiran na ASCII karaktere. Ali, ako možete da koristitite vaš FQDN kao common name, to će vam olakšati konfiguraciju.
Postoje situacije u kojima morate da koristite FQDN kao common name – na primer kada hoćete da obezbedite Edge Transport server koji obavlja Simple Mail Transfer Protocol SSL (SMTPS) preko Interneta. U ovom slučaju, morate da koristite isto FQDN kao što je objavljeno na "A" registru na javnom Internet DNS serveru. Ako korišćenje FQDN nije moguće ili nije poželjno, mnogi administratori koriste kraću formu domain imena FQDN-a  kao common names. Evo primera common imena koja mogu da budu povezana sa jednim Exchange serverom:

mail.yourserver.com
owa.yourserver.com
autodiscover.yourserver.com
outlook.yourserver.com

Moraćete da zaštitite i autorizujete svako od ovih imena pomoću SSL-a jer svaki uređaj koji mora da pokazuje na vaš server mora da koristi potpuno ista ova imena. Mnogi IT profesionalci imali su situaciju u kojoj Exchange implementacija ne radi zbog nesporazuma oko server common namea. Kreiranje dobre sheme imena za Exchange okruženje pomoći će vam da izbegnete mnoge probleme koji mogu da uslede kasnije.

MANJE GLAVOBOLJE SA SUBJECT ALTERNATIVE NAMES

Svaki od vaših common namea mora da bude autorizovan pomoću SSL-a, ali bio bi ogroman posao i skupo kad biste morali da kupite i instalirate pojedinačne SSL sertifikate za svaki common name. Ne brinite, jer postoji mnogo jednostavniji metod.
Rešenje za zaštitu više domena na jednom serveru, kao što je neophodno za Exchange server, je kupovina sertifikata sa više SAN-ova (subject alternative names). SAN polje uz SSL sertifikat deo je standardnog SSL sertifikata duže od decenije. Ovakav SSL sertifikat koji podržava SAN funkcioniše kao i regularan SSL sertifikat u skoro svakom pogledu. Nudi isti nivo enkripcije i autentifikacije; jedina razlika je u tome što štiti više common namea pomoću jednog SSL sertifikata. SAN polje je veoma fleksibilno i prepoznaju ga gotovo svi browseri i mobilni uređaji. Koristeći SAN može da koristite jedan sertifikat da zaštitite različite domene, IP adrese, serverska imena i drugo - savršeno za zaštitu Exchange servera.

Pogledajte koji SSL sertifikati podržavaju SAN.

PREPORUKE ZA SAN-OVE

Koristite “Certificate Principal Name” koje je konfigurisano za vašu Outlook Anywhere konekciju u Outlook profilu kao Subject Name u vašem SSL sertifikatu. Uključite  Fully Qualified Internet Domain Name (FQDN) za vaš server kao common name u vašem sertifikatu. Takođe, obratite pažnju da autodiscover service (ako ga koristite) mora da bude naveden kao SAN – autodiscover.yourserver.com. Svako Acommon name za različite servise koje koristite sa Exchangeom mora da bude navedeno kao SAN. Najčešće korišćeni servisi su Outlook Web App (OWA), ActiveSync, i Outlook Anywhere. Ako koristitite i jedan ili više Client Access Servera (CAS) moraćete da uključite i sva te FQDN-e na vašu SAN listu.

WILDCARD SERTIFIKATI

Wildcard sertifikati se razlikuju od SAN sertifikata. Wildcard sertifikati mogu da zaštite neograničen broj poddomena.
Na primer, wildcard sertifikat za *.mojdomen.com, štiti poddomene kao što su info.mojdomen.com i shop.mojdomen.com. Ipak, wildcard sertifikati su ograničeni u tom smislu da moraju da dele isti domen i da budu istog nivoa. To znači da pomoći wildcard sertifikata ne možete da zaštitite Exchange autodiscover service.