1 de 19 30/06/2005 16:19 OWA POR PUERTO SEGURO (SSL) + FORMS BASED AUTHENTICATION Usaremos este documento para que cuando entremos o entre cualquier usuario a nuestro servidor exchange por OWA entre de una forma segura y enviando contraseñas, emails, datos... todo encriptado y de esta forma no vaya en texto plano. Lo primero de todo es instalar el servidor de Certificados o 'Certification Authority'. Para ello, vamos a Inicio > Panel de Control > Agregar o Quitar Programas > Agregar o Quitar componentes de Windows. Seleccionamos 'Servicios de Certificados' y nos saltará esta pantalla. Nos indica que no podremos cambiar el nombre del PC o del dominio para que siga funcionando correctamente esta CA. Decimos que 'Sí'. Escogemos la primera opción y siguiente.
2 de 19 30/06/2005 16:19 Aquí deberemos de poner el nombre del servidor Futuro de Autoridad de Certificados (CA). Siguiente.
3 de 19 30/06/2005 16:19 Sí. Esperamos un minuto o así, hará falta el CD de MS Windows 2003.
4 de 19 30/06/2005 16:19 Una vez finalizada la instalación del CA, entramos en las propiedades del 'Default Web Site'. Para ello abrimos la consola de IIS y botón derecho encima del 'Sitio Web', nos ponemos en la pestaña 'Seguridad de Directorio' y pinchamos en 'Certificado de Servidor' Crear un nuevo certificado y siguiente.
5 de 19 30/06/2005 16:19 Primera opción y Siguiente. Ponemos un nombre descriptivo y Siguiente.
6 de 19 30/06/2005 16:19 Dos campos a rellenar y Siguiente. Aquí deberemos de poner el nombre al que accederemos para que se carge perfectamente el certificado; yo pongo exchange01.bujarra.com por que es la forma a la que accedere a OWA desde internet, así que el certificado se cargara perfectamente para ese 'dominio'. Si también queremos que desde la LAN se acceda a OWA usando este certificado daremos de alta este nombre de host en el servidor DNS y que apunte a la IP donde está el OWA, en mi caso creo el 'host' 'exchange01' y que apunte al PC 'bujarra01' (el servidor de MS Exchange).
7 de 19 30/06/2005 16:19 Rellenamos la localización Guardamos el fichero en esa ruta. Siguiente.
8 de 19 30/06/2005 16:19 Siguiente. Finalizar.
9 de 19 30/06/2005 16:19 Abrimos un Internet Explorer y accedemos a http://nombreservidorca/certsrv y pinchamos en 'Request a certificate'. Pinchamos en 'advanced certificate request'
10 de 19 30/06/2005 16:19 Pinchamos en 'Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.' Ahora deberemos de abrir el fichero donde hemos guardado la solicitud del certificado, por defecto: c:\certreq.txt. Copiamos todo el texto y lo cerramos.
11 de 19 30/06/2005 16:19 Pegamos el texto en la web. Y después seleccionamos la plantilla del certificado, tiene que ser 'Servidor Web' y pinchamos en 'Submit'. Seleccionamos 'Base 64 encoded y 'Download certificate'. Guardamos el certificado en C:\certnew.cer
12 de 19 30/06/2005 16:19 Volvemos a las propiedades del sitio web y pinchamos en 'Certificado de Servidor' Siguiente
13 de 19 30/06/2005 16:19 Procesamos el certificado pendiente de instalar y siguiente. Escogemos este último y siguiente.
14 de 19 30/06/2005 16:19 Seleccionamos el puerto seguro (por defecto 443), siguiente. Siguiente.
15 de 19 30/06/2005 16:19 Finalizamos. Pulsamos esta vez en el botón 'Editar'.
16 de 19 30/06/2005 16:19 Marcamos el check de 'Requerir canal seguro' y el de 'Requerir encriptación de 128-bits' Ahora lo que vamos a hacer es cambiar la forma de acceso al OWA. A partir de aquí es opcional, pero recomendable. Cuando se accede por OWA si no queremos que nos pida un usuario y una contraseña lo mejor es habilitar esto, suele ser aconsejable cuando la velocidad de conexión es lenta al servidor, para que descargue dos tipos de interfaces, el 'Premium' y el 'Basic'. Para ello entramos en la consola de administración de Exchange, y vamos a Servidores > NOMBRESERVER > Protocolos > HTTP > Y entramos en las propiedades del servidor virtual de Exchange.
17 de 19 30/06/2005 16:19 Pestaña 'Settings' y habilitamos el check de FBA (Forms Based Authentication). Nos pide que habilitemos SSL (todo lo anterior echo) y que reiniciemos los servicios de IIS (si no se sabe cómo hacerlo, reiniciar el servidor).
18 de 19 30/06/2005 16:19 Para comprobar que todo funciona abrimos el explorador e intentamos abrir OWA como siempre, por HTTP, y veremos que nos obliga a abrirla con SSL (puerto seguro).
19 de 19 30/06/2005 16:19 Al abrirla con HTTPS ya nos sale el OWA en condiciones, para logearnos meteremos el usuario de la forma DOMINIO\USUARIO, escogeremos el cliente (Premium o Básico) dependiendo de la velocidad de conexión y la seguridad del PC, para recordar passwords...