SBSUG - The Israeli SBS UG האתר הישראלי לקבוצת  דף בית
דף בית פורומים דף בית פורומים > מאמרים והדרכות לשימושכם > מיקרוסופט שרתים ותחנות
  הודעות חדשות הודעות חדשות RSS Feed: המדריך המלא ליצירה והגדרה של אישורי אבטחה
  FAQ FAQ  חיפוש בפורום   לוח שנה   הרשמה הרשמה  התחברות התחברות

המדריך המלא ליצירה והגדרה של אישורי אבטחה

 שליחת תגובה שליחת תגובה
כותב
הודעה / צפה בהודעה שלא נקראה
ohad צפה בגלילה למטה
עורך
עורך
אווטאר

הצטרף / הצטרפה: 04 נובמבר 2009
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 145
אפשרויות הודעה אפשרויות הודעה   ציטוט ohad ציטוט  שליחת תגובההגב קישור ישיר להודעה זו נושא: המדריך המלא ליצירה והגדרה של אישורי אבטחה
    פורסם: 04 נובמבר 2009 בשעה 14:54

2010-02-25_130848_הפעלת_פונקצית_AUTODISCOVER_בשרתי_SBS_2008. doc

למאמר המלא עם תמונות נא להוריד את הקובץ !!!

נתחיל בהסבר פשוט לגבי SSL ו CERTIFICATE

מבלי להיכנס להסברים על PKI אקצר ואומר שלצורך אימות זהות נותן השירות יש להנפיק חתימה שמאשרת את זהות אתר האינטרנט שמעביר את המידע. המידע שעובר בין השרת ללקוח תמיד מוצפן בין אם האישור ניתן ע"י גורם "נסמך" או לא.

בכדי לשמור על אבטחה מלאה מיקרוסופט "מערימה קשיים" כאשר נדרשים לקבל שירות בפרוטוקול HTTPS משרת והאישור לא עומד באחד משלושת התנאים:

1.      האישור ניתן ע"י גורם שהמערכת תומכת בו (רשום ב Trusted Certificate Publishers  בלשונית CONTENT)

2.      האישור תקף (לכל אישור תאריך פקיעה)

3.      שם האתר המספק את השירות מופיע ב SUBJECT

במקרים מסוימים יש צורך רק באישור של המשתמש כי הוא מבין את הסיכון ורוצה להמשיך כמו בגלישה לאתר מאובטח כגון OWA (גם במכשירים ניידים מסוימים כגוןIPHONE ו NOKIA MFE מדגמים חדשים יש אפשרות לאשר "אפשר תעודה לא אמינה תמיד")

במקרים אחרים כמו "RPC OVER HTTPS" ב OUTLOOK המערכת פשוט לא תתחבר ללא הודעה מפורשת

ישנם 2 אפשרויות שימוש ב אישורים

1.      התקנת CERTIFICATE AUTHORITY  בשרת – מאפשר לך ליצור ולנהל (לחדש למחוק להחליף) תעודות כאוות נפשך אבל עבודה בתצורה זו תאלץ אותך להתקין את ה ROOT CERTIFICATE של השרת בכל מחשב או מכשיר נייד שתתקין

2.      שליחת התעודה של האתר לגורם חיצוני מוסמך וקבלת אישור ש"הוסמך" ע"י גורם שרשום ברשימה הקיימת במערכת ההפעלה – עבודה בתצורה זו עולה כ 90$ לשנה או שנתיים אך פותרת אותך מהצורך להתקין אישורים או לבצע כל הכנה על כל מחשב שאותו תרצה להגדיר.

מה היה לנו ב SBS 2003

כמיטב המסורת של SBS כאשר הרצנו את ה WIZARD של החיבור לאינטרנט הוא יצר לנו Self Signed Certificate  ללא הקמת CERTIFICATE AUTHORITY SERVICE

פיתרון זה היה טוב לעבודה ב OWA וגם באופן מסוים ב RPC OVER HTTPS

ההמלצה שלי לכולם תמיד הייתה להתקין CERTIFICATE AUTHORITY SERVICE וליצור אישור חדש מולו

שם האתר באישור חייב להיות השם החיצוני של האתר (בד"כ השתמשנו ב mail.domainname.co.il)

בשיטה זו הרווחנו:

  1. ניתן לגשת ל http://mail.domainname.co.il/certsrv  ולהוריד את האישור הראשי של השרת וע"י כך לקבל תמיכה בכל אישור שנוצר דרכו.
  2. מענה מעולה למצב של חידוש האישור שתקף לשנתיים (מנהל הרשת נדרש ל 4 קליקים בשרת והאישור מחודש לשנתיים ללא כל הגדרה ושינוי בתחנות הCLIENTS)

או כמובן לרכוש אישור חיצוני

מה חדש ומה חסר ב SBS 2008

ב 2008 מיקרוסופט עלתה מדרגה אחת (אבל רק אחת( קדימה ובתהליך יצירת המערכת היא מתקינה CERTIFICARE AUTHORITY SERVER ומייצרת אישור מולו ב WIZARD של  CONNECT TO THE INTERNET

מה לא עשו ?:

  1. לא התקינו כברירת מחדל את ממשק ה WEB לניהול והורדת ה ROOT CERTIFICATE לכן אני ממליץ בסוף ההתקנה לגשת ל:

 SERVER MANAGER ROLES ACTIVE DIRECTORY CERTIFICATE SERVER

ולהוסיף את Certificate Authority Web Enrollment

  1. לא הגדירו את אפשרות ה AUTODISCOVER  - הפרק הבא יסביר מה זה ואיך ניתן להגדיר

הגדרת Autodiscover  בשרת עם EXCHANGE 2007 או בכל SBS 2008

התכונה הנ"ל מאפשרת ללקוחות שעובדים עם OL 2007 ומעלה או מכשירים ניידים (כולל Mail For Exchange) בדגמים החדשים לזהות את פרטי שרת הEXCHANGE (שם FQDN ו NETBIOS) בעזרת ה DNS  והאישור של האתר ובכך ע"י הכנסת פרטים בסיסיים שכל משתמש יודע (Email & Password) מתבצעת באופן אוטומטי כל הכנסת הפרמטרים להגדרת  RPC OVER HTTPS

ניגש לעבודה:

  1. כאשר אנו מקימים מערכת ללקוח חדש שקנה או מחזיק שם דומיין יש צורך לעדכן את הרשומות הבאות:
    1. MX שמפנה לשם remote.domainname.co.il  (בהנחה שהלקוח לא משתמש ב mail relay עם סינון של שירות צד שלישי(

**שימו לב להקפיד לעבוד עם השם REMOTE ולא MAIL או כל דבר אחר. SBS  דואג ע"י הגדרות בDNS שהשם יהיה שקוף למשתמש מתוך האירגון ומחוצה לו

    1. A שמפנה את כתובת ה IP של השרת ל remote.domainname.co.il
    2. A שמפנה את כתובת ה IP של השרת ל autodiscover.domainname.co.il  ניתן גם ליצור CNAME
  1. יצירת בקשה ל CERTIFICATE עם שמות DNS מרובים–  פקודת POWERSHELL שמכילה את כל השמות תיצור לנו קובץ *.cer שאותו נוכל לשלוח לספק חיצוני ולקבל (בתשלום כמובן) את האישור לשרת ה IIS או שנשלח אותו ל ACTIVE DIRECTORY CERTIFICATE SERVER  שלנו

הפקודה נראית כך:

New-ExchangeCertificate -GenerateRequest -DomainName mail.contoso.com, autodiscover.contoso.com -FriendlyName contosoinc -KeySize 1024 -PrivateKeyExportable:$True -SubjectName "c=US o=contoso inc, CN=server01.contoso.com" -Path c:\certrequest.txt

הדרך הקלה ביותר ליצור את הפקודה היא כלי שיש באתר בלינק הבא:

https://www.digicert.com/easy-csr/exchange2007.htm

שימו לב שבצד ימין יש הסבר לכל חלון פרטים שיש להכניס

בסיום לוחצים Generate ויש לנו פקודה מוכנה

New-ExchangeCertificate -GenerateRequest -Path c:\highnet.csr -KeySize 2048 -SubjectName "c=IL, s=IL, l=Holon, o=Highnet LTD, ou=IT, cn=highnet" -DomainName remote.highnet.co.il, server2k8.highnetltd.local, autodiscover.highnet.co.il -PrivateKeyExportable $True

פתח POWERSHELL (לא לשכוחRun as administrator )

הדבק בקשה זו

ייווצר קובץ ב PATH שרשום בפקודה (c:\highnet.csr)

קובץ זה ניתן:

1.      לשלוח לצד שלישי להנפקת אישור ממקור אמין  (לאחר קבלת האישור החתום ניתן לעבור ישר לסוף המאמר לפקודת ה POWERSHELL האחרונה)

2.      להנפיק לעצמנו תעודה בעזרת שרת ה  CERTIFICATEשבשרת SBS2008

אדגים את השיטה השנייה

כאשר אנו יוצרים active directory Enterprise trusted root certificate אנו עובדים בתצורה שבה ב AD מוגדרים ההרשאות מי רשאי להנפיק (enroll) איזו תעודה

כברירת מחדל אין לנו ולשרת הרשאה להנפיק תעודה מסוג web server ולכן יש צורך לתת הרשאה:

הקלד Certificate Authority  בשורת החיפוש והקש ENTER

גש ל Certificate Templates  בתחתית העץ משמאל

לחצן ימני Manage – נפתח ממשק ניהול כל התבניות

הקלק פעמיים על Web Server גש ל Security הוסף domain Users ותן להם הרשאת Enroll

בצע RESTART ל ACTIVE DIRECTORY CERTIFICATE SERVICE

גש ל IIS MANAGEMENT ודאג שהAuthentication  תחת ה CertSrv לא מאפשר Anonymous  ומאפשר Basic Authentication

פתח את הלינק   http://127.0.0.1/certsrv

הכנס שם וסיסמא  (domain\netadmin)

הקלק על Request a certificate

כעת על  Advanced certificate request

שוב על הלינק התחתון base 64 encoded

כאן מדביקים את תוכן הקובץ שיצרנו באמצעות פקודת ה SHELL (c:\highnet.cer)

ובוחרים web server  ו -  submit

כל שנותר הוא לשמור את הcertificate במקום מסוים בוא נאמר  c:\certnew.cer

כעת שוב ע"י פקודת SHELL פשוטה אנחנו נשתול את האישור במערכת ונחסוך את העבודה עם ה GUI של ה IIS ו ה EXCHANGE

Import-ExchangeCertificate -path c:\certnew.cer | Enable-ExchangeCertificate -Services IIS, SMTP

האישור שיצרנו עבור השרת ושייכנו לאתר ב IIS מכיל את כל הנתונים ב Subject Alternate Name

מכיוון שהמבנה ב SBS שונה משרת רגיל בגלל המשחק עם כמה WEB SITES תהליך זה יוצר בעייתיות בהגדרות ה IIS לכן יש לבצע את הפעולות הבאות:

היכנס ל IIS MANAGER

פתח את ה DEFAULT WEB SITE

גש ל SSL SETTINGS ובטל את ה V מה SSL

חזור ל DEFAULT WEB SITE ופתח את ה BINDING

הסר את ה HTTPS

גש ל SBS WEB APPLICATION פתח את ה BINDING ובחר CERT בשם EXCHANGE

בזה הסתיים התהליך וניתן לחבר לקוחות באופן קל ומהיר

לא לשכוח שעבור אירגונים בהם השתמשנו בשרת האישורים שלנו יש לשתול את האישור הראשי של השרת בתחנה שבה אנו רוצים להתקין את המערכת

ניתן לגשת לאישור מכל מקום ע"י גלישה ל  http://[IPADDRESS]/certsrv

שימו לב לא לכתוב remote.domainname.co.il אלא את כתובת ה IP החיצונית (מכיוון שה HOST HEADER הנ"ל שמור לאתר של האפליקציות ולא לאתר שבו יושב ה CERTSRV.

נתבקש לתת שם וסיסמא (כל משתמש באירגון יכול להספיק)

בוחרים באפשרות האחרונה

בוחרים בלינק הראשון

פתח או שמור ופתח את האישור

לחץ על INSTALL CERTIFICATE

שימו לב בהתקנה לבחור למקם את האישור במקום מסוים ולא באופן אוטומטי וכאשר נפתח חלון בחירת המיקום יש לסמן Show physical stores לבחור Trusted Root Certificate Authority ולבחור registry

לאשר את כל המסכים (גם כשמופיע הודעה שנראית כשגיאה)

דרך טובה לבדוק שהאישור הותקן היא לגלוש ל OWA ולראות שלא מקבלים הערה על בעיה בCERTIFICATE

בהצלחה



נערך על ידי ohad - 25 פברואר 2010 בשעה 13:11
Ohad Saban
High Networks
בחזרה למעלה
teiger צפה בגלילה למטה
חבר קבוצה קבוע
חבר קבוצה קבוע
אווטאר

הצטרף / הצטרפה: 02 ספטמבר 2008
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 31
אפשרויות הודעה אפשרויות הודעה   ציטוט teiger ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 05 נובמבר 2009 בשעה 00:24
תודה מראש

סטיבן טיגר [SBS-MVP(2003-2009)]
http://www.wintra.co.il/
בחזרה למעלה
oferhhh צפה בגלילה למטה
חבר קבוצה קבוע
חבר קבוצה קבוע
אווטאר

הצטרף / הצטרפה: 01 ספטמבר 2008
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 339
אפשרויות הודעה אפשרויות הודעה   ציטוט oferhhh ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 12 נובמבר 2009 בשעה 21:01
אחל'ה מאמר.

תודה
עופר הופמן
נייד : 050-5428073
https://blog.justsales.co.il

בחזרה למעלה
gilcs צפה בגלילה למטה
חבר קבוצה קבוע
חבר קבוצה קבוע
אווטאר

הצטרף / הצטרפה: 04 ספטמבר 2008
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 118
אפשרויות הודעה אפשרויות הודעה   ציטוט gilcs ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 23 נובמבר 2009 בשעה 16:12
ישר כוח! מאמר חשוב וברור.
גיל בן הדור
גיל פתרונות מיחשוב
054-4444401
gil@gilcs.co.il
בחזרה למעלה
NirShiloni צפה בגלילה למטה
משתמש מתחיל
משתמש מתחיל
אווטאר

הצטרף / הצטרפה: 31 ינואר 2011
מצב מחובר: לא מחובר
הודעות: 18
אפשרויות הודעה אפשרויות הודעה   ציטוט NirShiloni ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 12 מאי 2011 בשעה 19:21
אוהד מאמר מצוין, ישר כח.
כתוצאה מאילוץ אצל אחד הלקוחות אנחנו מחוייבים לעבוד עם SSL מקומי (ולא חוקי) על SBS 2008. האם ניתן להתחבר ב-Outlook Anywhere ולהשתמש ב-AutoDiscover ע"י שימוש ב-SSL כזה?

תודה ושבת שלום, ניר
בחזרה למעלה
ohad צפה בגלילה למטה
עורך
עורך
אווטאר

הצטרף / הצטרפה: 04 נובמבר 2009
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 145
אפשרויות הודעה אפשרויות הודעה   ציטוט ohad ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 12 מאי 2011 בשעה 19:33
כן בהחלט
על זה בדיוק מדבר המאמר !
 
רק לפני זה תתקין את ה סרטפיקציה במחשב הלקוח
Ohad Saban
High Networks
בחזרה למעלה
NirShiloni צפה בגלילה למטה
משתמש מתחיל
משתמש מתחיל
אווטאר

הצטרף / הצטרפה: 31 ינואר 2011
מצב מחובר: לא מחובר
הודעות: 18
אפשרויות הודעה אפשרויות הודעה   ציטוט NirShiloni ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 12 מאי 2011 בשעה 19:36
גם ה-AutoDiscover מהעולם?
תודה
בחזרה למעלה
ohad צפה בגלילה למטה
עורך
עורך
אווטאר

הצטרף / הצטרפה: 04 נובמבר 2009
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 145
אפשרויות הודעה אפשרויות הודעה   ציטוט ohad ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 12 מאי 2011 בשעה 19:38
כן
Ohad Saban
High Networks
בחזרה למעלה
NirShiloni צפה בגלילה למטה
משתמש מתחיל
משתמש מתחיל
אווטאר

הצטרף / הצטרפה: 31 ינואר 2011
מצב מחובר: לא מחובר
הודעות: 18
אפשרויות הודעה אפשרויות הודעה   ציטוט NirShiloni ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 12 מאי 2011 בשעה 19:40
לאחר ביצוע השינויים המופיעים במסמך, בדיקה דרך https://www.testexchangeconnectivity.com אמורה להיות תקינה?
בחזרה למעלה
ohad צפה בגלילה למטה
עורך
עורך
אווטאר

הצטרף / הצטרפה: 04 נובמבר 2009
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 145
אפשרויות הודעה אפשרויות הודעה   ציטוט ohad ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 12 מאי 2011 בשעה 19:44
לא כי אתה לא מתקין את הסרטיפיקציה באתר של הבדיקה צחוק
 
אתה צריך רק לוודא שלאחר ההתקנה של הסרטיפיקציה אצל הלקוח אתה מגיע "נקי" ל  https://remote.yourdomain.co.il
 
זה הכל
Ohad Saban
High Networks
בחזרה למעלה
NirShiloni צפה בגלילה למטה
משתמש מתחיל
משתמש מתחיל
אווטאר

הצטרף / הצטרפה: 31 ינואר 2011
מצב מחובר: לא מחובר
הודעות: 18
אפשרויות הודעה אפשרויות הודעה   ציטוט NirShiloni ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 12 מאי 2011 בשעה 19:46
סבבה מובן. הרבה תודה
בחזרה למעלה
NirShiloni צפה בגלילה למטה
משתמש מתחיל
משתמש מתחיל
אווטאר

הצטרף / הצטרפה: 31 ינואר 2011
מצב מחובר: לא מחובר
הודעות: 18
אפשרויות הודעה אפשרויות הודעה   ציטוט NirShiloni ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 17 מאי 2011 בשעה 17:34
אוהד, תקלה לא צפויה באמצע התהליך (SBS 2k8 בן שבועיים על ESXi) בעת לחיצה על ה-Submit לאחר הדבקת ה-CSR. גיגלתי, יש כמה כיוונים, אף אחד לא רלוונטי לנו. מה דעתך?

Error

Your request failed. An error occurred while the server was processing your request.

Contact your administrator for further assistance.

" type=button

Request Mode:
newreq - New Request Disposition:
(never set) Disposition message:
(none) Result:
The RPC server is unavailable. 0x800706ba (WIN32: 1722) COM Error Info:
CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722) LastStatus:
The operation completed successfully. 0x0 (WIN32: 0) Suggested Cause:
This error can occur if the Certification Authority Service has not been started.
בחזרה למעלה
ohad צפה בגלילה למטה
עורך
עורך
אווטאר

הצטרף / הצטרפה: 04 נובמבר 2009
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 145
אפשרויות הודעה אפשרויות הודעה   ציטוט ohad ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 17 מאי 2011 בשעה 20:30
האם הקפדת על הגדרות ה SECURITY ?
 
כניסה כאדמין לדפדפן וכו' ?
Ohad Saban
High Networks
בחזרה למעלה
NirShiloni צפה בגלילה למטה
משתמש מתחיל
משתמש מתחיל
אווטאר

הצטרף / הצטרפה: 31 ינואר 2011
מצב מחובר: לא מחובר
הודעות: 18
אפשרויות הודעה אפשרויות הודעה   ציטוט NirShiloni ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 18 מאי 2011 בשעה 11:24
כוונתך להריץ את האקספלורר כאדמין, או logon כאדמין?
בחזרה למעלה
doom צפה בגלילה למטה
מנהל פורומים
מנהל פורומים


הצטרף / הצטרפה: 27 ינואר 2010
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 187
אפשרויות הודעה אפשרויות הודעה   ציטוט doom ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 18 מאי 2011 בשעה 21:53
בדקת שהסרוויס רץ ואין שגיאות בלוגים שקשורים לCA ?
ערן סבן
בחזרה למעלה
NirShiloni צפה בגלילה למטה
משתמש מתחיל
משתמש מתחיל
אווטאר

הצטרף / הצטרפה: 31 ינואר 2011
מצב מחובר: לא מחובר
הודעות: 18
אפשרויות הודעה אפשרויות הודעה   ציטוט NirShiloni ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 18 מאי 2011 בשעה 23:06
חבר'ה הכל עובד. לפעמים קל לשכוח שאתה עובד מול מייקרוסופט, ואין כמו ריסטרט אמיץ כדי להתניע תהליכים. תודה רבה.
שאלה אחרונה ברשותכם, ה-Autodiscover מהעולם לא עובד משום מה, למרות שרשומת ה-Cname מפנה לכתובת השרת הנכונה. יש כיוון?
בחזרה למעלה
livnat צפה בגלילה למטה
חבר קבוצה קבוע
חבר קבוצה קבוע
אווטאר

הצטרף / הצטרפה: 01 ספטמבר 2008
מצב מחובר: לא מחובר
הודעות: 10
אפשרויות הודעה אפשרויות הודעה   ציטוט livnat ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 30 יוני 2011 בשעה 10:29
בעיות עם  sbs 2011 ב powershell לא עובד ה path ו צריכים להעתיק את הטקסט מחלון ה cmd לקובץ.
בהפעלת האופציה השניה לאחר מתן הרשעות  ב http://127.0.0.1/certsrv מבצעים הדבקה אך לאחר ה submit אין שמירה .
וכאן הלכתי לעיבוד
יובל
בחזרה למעלה
doom צפה בגלילה למטה
מנהל פורומים
מנהל פורומים


הצטרף / הצטרפה: 27 ינואר 2010
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 187
אפשרויות הודעה אפשרויות הודעה   ציטוט doom ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 30 יוני 2011 בשעה 11:03
ב11 שינו קצת את הPATH ואת ההתקנה

כתבתי לפני כמה זמן את הכתבה הזאת שמוסבר כמה דרכים ליצור תעודה ב11
http://sbu.co.il/forum_posts.asp?TID=565&title=san--sbs-2011




ערן סבן
בחזרה למעלה
 שליחת תגובה שליחת תגובה

קפיצה לפורום הרשאות פורום צפה בגלילה למטה

Web Wiz Heb - מערכת פורומים בעברית תמיכה ומאמרים
פורום קבוצת sbsug בשיתוף עם-חברת אורנט תקשורת

עמוד זה נוצר ב 1.375 שניות.
Bulletin Board Software by Web Wiz Forums® version 9.65
Copyright ©2001-2010 Web Wiz