前言

在使用EXCHANGE自带的OWA(OUTLOOK WEB ACCESS)时,默认情况下是使用NTLM验证的,这时会弹出一个窗口要求用户输入用户、密码和域,这和我们的习惯有些不相似。在EX2003里,OWA带来了一种和我们平常上网使用的表单一样的登录方式,我们称为表单登录。然而表单登录因为使用的是明文传输,所以需要对密码进行加密,一般使用SSL来加密通信,这时我们就需要给OWA站点建立一个证书,通常情况下,我们是借助企业CA或独立CA来建立自己的证书,这样不仅要安装CA服务器,还需要完成很多的工作,尤其是当OWA运行在公网的时候,这些操作无疑是复杂的。现在好了,我们可以借助SELFSSL来给OWA站点签发自签名的证书而不需要CA服务器了。

过程

首先我们要完成这个工作,需要找到SELFSSL这个工具,别着急,且听我慢慢道来。在微软下载中心下载IIS6 资源工具包(http://www.microsoft.com/downloads/details.aspx?familyid=56FC92EE-A71A-4C73-B628-ADE629C89499&displaylang=en),在其中有SELFSSL这个工具。

下载完毕后,在安装有OWA站点的服务器上安装它,因为我们只需要SELFSSL这个工具,所以我们选择定制安装(当然你要想使用所有工具,也可以完全安装)



接下来选择安装的路径,可修改。


在安装的组件里选择SELFSSL。


等待安装完成,你可以去喝点COFFEE,^_^ 安装完成后,系统会在开始菜单里建立对应的程序组,其中我们看到了SELFSSL的影子。


注意:SELFSSL是个命令行工具!!
打开SELFSSL,可以看到SELFSSL的帮助页,如图:


这里我们主要关心的参数是公用名称,这是要和你的OWA域名一样的。还有就是有效时间,一般为365天(1年),如果你有兴趣可以设置个100年,呵呵。。其他要注意的参数就是/K(密钥长度,不要超过1024位),还有/T(自动增加信任列表)

现在请你输入:SELFSSL /N:CN=owa.mydomain.com /T /V:365
以上命令表示我们将建立一个公用名称为owa.mydomain.com,时间为365天的证书。

SELFSSL将询问你是否将证书应用到指定的WEB站点(/S可指定站点ID)上,输入“Y”以确认。


现在你可以打开IIS的管理工具的OWA虚拟目录exchange,应该可以看到在站点上已经有了SSL证书了。打开exchange虚拟目录的属性


打开证书里的编辑。


在需要SSL的复选框中选中,并按需要选择是否需要128高加密。


现在关闭属性页,你的SSL已经可以使用了。你可以打开IE,输入https://owa.mydomain.com/exchange,注意此处要输入的是HTTPS,而不是HTTP。你将看到证书安全警告框。


该警告提醒你你的证书不被信任。选择[查看证书],可以看到证书的详细信息,从该信息里可以看到该证书尚未安装。


选择[安装证书],开始证书的安装。


选择证书的存储容器


选择自动选择存储容器,继续完成安装


OK,完成该向导,你的证书已经被安装到信任列表了,你将不会再看到证书警告框了。你可以以安全的方式访问你的OWA了。

推荐阅读

The IIS 6.0 Resource Kit Tools:
http://support.microsoft.com/default.aspx?scid=kb;en-us;840671