五分鐘安全警告器-設定Outlook Web Access
Outlook Web Access (OWA) for Exchange 2000 是在網路上存取電子郵件的一種很棒的方式。它最好與 Internet Explorer for Windows 搭配使用,但也可以在 Windows、Mac OS、 Linux,甚至是 Solaris 上與 Netscape、Opera 及其他瀏覽器一起使用!當您使用 OWA 來存取 Exchange Server 信箱時,設定 SSL
在預設狀況下,所有透過網際網路傳送的流量都是未加密的。這是故意的;最初建立網際網路核心通訊協定及基礎結構的創造者並沒有 (且無法!) 預期到網際網路的使用會變得這麼地廣泛,也沒有預期到運算能力的進步足以使它輕鬆地使用加密來保護流量安全,以防止被讀取或破壞。 Netscape 最初開發 Secure Sockets Layer 通訊協定 (SSL) 來保護網頁瀏覽器與 Web 伺服器之間的流量安全;這個想法很快地受到歡迎,而現在 SSL (及其更安全的子代,TLS) 已無所不在。
Internet Information Server 5.0 含有 SSL 的完整支援,而所有版本的 Internet Explorer、Netscape 及大部份的協力廠商瀏覽器都有。當您在 Web 伺服器及瀏覽器之間使用 SSL 時,第三者無法讀取來回傳送的流量,且用戶端可以檢查伺服器加密憑證的有效性以驗證伺服器的身分識別。這些保護對於 OWA 是非常有用的,因為它們可以保護您的使用者帳戶名稱、密易做图及郵件,防止在傳送中被讀取。
保護 OWA 流量的第一步是在您的 Exchange 2000 伺服器上啟用 SSL。此作業的執行步驟非常簡單:您必須取得 SSL 憑證,安裝它,然後告知 IIS 使用在 Exchange Server 的 OWA 目錄中使用它。您可以使用 Microsoft 的 [憑證伺服器] (隨附於 Windows 2000 Server 及更新的版本) 以發出您自己的憑證,或您可以向協力廠商憑證發行者 (如 VeriSign 或 Thawte) 購買商業憑證。
動作 自協力廠商或使用您自己的憑證伺服器,以取得伺服器憑證。一旦您已取得憑證,請使用 Web 伺服器憑證精靈來安裝它。
針對 OWA 使用者,強制執行 SSL
只有在您已安裝憑證後,才可以啟用 SSL。一旦完成該作業,則在該機器上由 IIS 所提供的任何或所有目錄中,您都可以啟用或需要 SL。在我們的案例中,我們對於保護 /exchange 虛擬目錄較有興趣,因為那是使用者可以存取以取得 OWA 的目錄。當您只能啟用 SSL 時,最好想成是需要它—不要讓您的使用者自行負責他們的安全性。 強制執行 SSL 的作業非常簡單:
- 在 Exchange Server 上開啟 [電腦管理] 嵌入式管理單元。展開 [服務及應用程式] 節點,然後展開 Internet Information Services 節點。
- 展開 [預設的 Web 站台] 節點,然後尋找 Exchange 目錄。在該目錄上按一下滑鼠右鍵,然後選擇 [內容] 命令。
- 按一下 [目錄安全設定] 索引標籤。在 [安全通訊] 控制群組中, [檢視憑證] 及 [編輯] 按鈕應該是在作用中。如果沒有,則您憑證未適當地安裝—您必須先修正此問題,然後才能繼續。
- 按一下 [安全通訊] 群組中的 [編輯] 按鈕。您會看到 [安全通訊] 對話方塊。
如果您的瀏覽器不支援內嵌框架,請按此處以檢視個別網頁。- 檢查 [必須使用安全通道(SSL)] 核取方塊。您也可以選擇性地選取 [需要 128 位元加密] 方塊。這麼做可以提供更好的安全性,但部份用戶端可能無法連接。
一旦您完成這些變更,輸入 https://yourServerName/exchange/yourMailbox 後,應該就可以開啟您的信箱。您應該不能以一般的 http URL 來開啟它。
動作 試著使用及不使用 SSL 來開啟您的信箱。驗證如果沒有使用 https:// 作為 URL 字首,是否無法開啟它。
自動將使用者重新導向到 SSL OWA 站台
一旦您已將 IIS 設定為需要使用 SSL,可能會想要將使用者自動重新導向到安全目錄;那樣,不記得使用 https:// 的使用者仍然可以取得他們的郵件,而不用麻煩您。若要做這樣的處理,您必須在 Exchange Server 的 inetpub\wwwroot\owaasp 目錄中建立名為 ssl-redirect.asp 的檔案。在該檔案中,貼上下列程式易做图:
<%
If Request.ServerVariables("SERVER_PORT")=80 Then
Dim strRedirURL
strRedirURL = "https://" & Request.ServerVariables("SERVER_NAME")
strRedirURL = strRedirURL & "/exchange"
Response.Redirect strRedirURL
End If
%>接下來,請遵循下列指示以告知 IIS 將錯誤 403.4 對應到 ssl-redirect.asp 檔案。每一次 IIS 遇到該特定錯誤時,就會執行 ASP 程式易做图,將使用者自動重新導向到正確的網頁。
,