RPC sobre HTTPS
Anuncio
RPC sobre HTTPS 1 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html RPC sobre HTTPS Outlook 2003 se conecta a Exchange 2003 con HTTPS sólo (RPC sobre HTTP o HTTPS), Este procedimiento es muy útil y seguro, sirve para que nuestros clientes Outlook 2003 se puedan conectar a nuestro servidor MS Exchange 2003 vía web, usando el puerto 80 o el 443 (en modo seguro) usando Outlook desde Internet, desde su casa/hotel/oficina... y así no tener que usar OWA. Para ello necesitaremos instalar una CA, un componente, modificaciones de registro y nada más. Empezamos, lo primero de todo es instalar el servidor de Certificados o 'Certification Authority'. Para ello, vamos a Inicio > Panel de Control > Agregar o Quitar Programas > Agregar o Quitar componentes de Windows. Seleccionamos 'Servicios de Certificados' y nos saltará esta pantalla. Nos indica que no podremos cambiar el nombre del PC o del dominio para que siga funcionando correctamente esta CA. Decimos que 'Sí'. 09/05/2006 4:28 RPC sobre HTTPS 2 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Escogemos la primera opción y siguiente. Aquí deberemos de poner el nombre del servidor Futuro de Autoridad de Certificados (CA). 09/05/2006 4:28 RPC sobre HTTPS 3 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Siguiente. Sí Esperamos un minuto o así, hará falta el CD de MS Windows 2003. 09/05/2006 4:28 RPC sobre HTTPS 4 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Una vez finalizada la instalación del CA, entramos en las propiedades del 'Default Web Site'. Para ello abrimos la consola de IIS y botón derecho encima del 'Sitio Web', nos ponemos en la pestaña 'Seguridad de Directorio' y pinchamos en 'Certificado de Servidor' Crear un nuevo certificado y siguiente. 09/05/2006 4:28 RPC sobre HTTPS 5 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Primera opción y Siguiente. Ponemos un nombre descriptivo y Siguiente. 09/05/2006 4:28 RPC sobre HTTPS 6 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Dos campos a rellenar y Siguiente. Aquí deberemos de poner el nombre al que accederemos para que se carge perfectamente el certificado; yo pongo www.bujarra.com por que es la forma a la que accedere a RPC desde internet (HTTP o HTPPS), así que el certificado se cargara perfectamente para ese 'dominio'. Si también queremos que desde la LAN se acceda al RPC usando este certificado daremos de alta este nombre de host en el servidor DNS y que apunte a la IP donde está el servidor IIS, en mi caso creo el 'host' 'www' y que apunte al PC 'bujarra01' (el servidor de MS Exchange/IIS). 09/05/2006 4:28 RPC sobre HTTPS 7 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Rellenamos la localización Guardamos el fichero en esa ruta. Siguiente. 09/05/2006 4:28 RPC sobre HTTPS 8 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Siguiente, Finalizar, 09/05/2006 4:28 RPC sobre HTTPS 9 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Abrimos un Internet Explorer y accedemos a http://nombreservidorCA/certsrv y pinchamos en 'Request a certificate'. Pinchamos en 'advanced certificate request' 09/05/2006 4:28 RPC sobre HTTPS 10 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Pinchamos en 'Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.' Ahora deberemos de abrir el fichero donde hemos guardado la solicitud del certificado, por defecto: c:\certreq.txt. Copiamos todo el texto y lo cerramos. 09/05/2006 4:28 RPC sobre HTTPS 11 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Pegamos el texto en la web. Y después seleccionamos la plantilla del certificado, tiene que ser 'Servidor Web' y pinchamos en 'Submit'. Seleccionamos 'Base 64 encoded y 'Download certificate'. Guardamos el certificado en C:\certnew.cer 09/05/2006 4:28 RPC sobre HTTPS 12 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Volvemos a las propiedades del sitio web y pinchamos en 'Certificado de Servidor' Siguiente 09/05/2006 4:28 RPC sobre HTTPS 13 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Procesamos el certificado pendiente de instalar y siguiente. Escogemos este último y siguiente. 09/05/2006 4:28 RPC sobre HTTPS 14 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Seleccionamos el puerto seguro (por defecto 443), siguiente. Siguiente, 09/05/2006 4:28 RPC sobre HTTPS 15 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Finalizar... Pulsamos esta vez en el botón 'Editar'. 09/05/2006 4:28 RPC sobre HTTPS 16 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Marcamos el check de 'Requerir canal seguro' y el de 'Requerir encriptación de 128-bits' y OK, Ahora instalamos el componente "RPC sobre el proxy HTTPS", para ello: "Inicio > Panel de Control > Agregar o Quitar Programas > Agregar o Quitar componentes de Windows. Y lo seleccionamos dentro de "Servicios de red", Aceptamos. 09/05/2006 4:28 RPC sobre HTTPS 17 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Volvemos a la consola del IIS, y vamos a "Sitios web" > "Sitio web predeterminado" > Propiedades en "Rpc" > Pestaña "Seguridad de directorios" > Pulsamos sobre el botón Modificar de "Autenticación y control de acceso", y habilitamos los checks de "Habilitar el acceso anónimo" y el de "Autenticación básica", Aceptamos. 09/05/2006 4:28 RPC sobre HTTPS 18 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Ahora en la misma pestaña de "Seguridad de directorios", pulsamos sobre el botón Modificar de "Comunicaciones seguras" y habilitamos los checks de "Requerir canal seguro (SSL)" y "Requerir cifrado de 128 bits", Aceptamos y cerramos. Vale, ahora un poco de registro: si no tenemos estra entrada crearla: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem Value name: Rpc/HTTP Port Value type: REG_DWORD 09/05/2006 4:28 RPC sobre HTTPS 19 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Value data: 0x1771 (Decimal 6001) Ahora esta: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters Value name: HTTP Port Value type: REG_DWORD Value data: 0x1772 (Decimal 6002) Esta también la tendréis lo más seguro... sino, la creáis, eh! HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters Value name: Rpc/HTTP NSPI Port Value type: REG_DWORD Value data: 0x1774 (Decimal 6004) 09/05/2006 4:28 RPC sobre HTTPS 20 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Esta tiene su miga, en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy, sería MODIFICAR una existente llamada "VALIDPORTS", se quita el contenido y se pone lo siguiente: ServerNETBIOSName:6001-6002;ServerFQDN:6001-6002;ServerNetBIOSName:6004;ServerFQDN:6004 En mi ejemplo, sería: bujarra01:6001-6002;bujarra01.bujarra.com:6001-6002;bujarra016004;bujarra01.bujarra.com:6004 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters sería crear una cadena multipe con este nombre: "NSPI interface protocol sequences" y este contenido, como en el ejemplo de la imagen: ncacn_http:6004 y Aceptar. 09/05/2006 4:28 RPC sobre HTTPS 21 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Una vez todo realizado abria que reinicar IIS y si se puede el servidor para que surjan efecto las modificaciones del registro. Configuración en la parte cliente --> Outlook 2003, Vale, esto tendrías que hacerlo en los PC's que quieran que accedan de esta forma al Outlook, recuerda que en el firewall tienes que abrir el puerto 443 y mapearlo a este servidor Exchange/IIS. Así que creamos un Perfíl de Outlook para probarlo (o configurarlo de forma definitiva), ya sabes, Panel de Control > Correo > Agregar Perfíl nuevo. Seleccionamos la primera opción, "Agregar una nueva cuenta de correo electrónico" y Siguiente. 09/05/2006 4:28 RPC sobre HTTPS 22 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html La primera opción "Servidor de Microsoft Exchange" y Siguiente Ponemos el nombre público del servidor Exchange/IIS, como se supone que ahora estamos en 'Internet' accederemos a su nombre DNS o a su IP pública, se entiende que eso, que el servidor IIS/Exchange tiene una conexion a internet con una IP pública o nombre público (DNS) y con el puerto 443 mapeado a la IP privada de este server. Bueno, lo dicho, ponemos servidor y usuario, y pulsamos sobre "Más configuraciones..", si por lo que sea no nos abre a la primera, le damos a "Reintentar la conexion", puede ser un fallo de comunicaciones. Y muy importante desmarcamos el check de "Usar modo de intercambio en caché". 09/05/2006 4:28 RPC sobre HTTPS 23 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html En la pestaña de Conexión marcamos el check de "Conectar con el buzón de Exchange utilizando HTTP", y pulsamos sobre "Configuración de proxy de Exchange...", en la pantalla nueva escribimos de nuevo el nombre DNS o la IP pública del servidor (en mi caso de nuevo www.bujarra.com), marcamos el check de "Conectar utilizando sólo SSL) y ambos checks para que se conecte con HTTP y después con TCP/IP y Aceptamos. Yo en la pestaña de Seguridad suelo marcar que siempre me pida contraseña para abrir el Outlook, más que nada pq cuando abro Outlook no estoy autenticado en el dominio y me pedirá contraseña y además x temas de seguridad, opcional. Con esto ya estaría la parte cliente finalizada, ahora sólo queda hacer pruebas y que todo vaya bien. 09/05/2006 4:28 RPC sobre HTTPS 24 of 24 http://www.bujarra.com/ProcedimientoRPCsobreHTTPS.html Testear que funciona bien, Para comprobar que todo va bien y que el Outlook (cliente) se conecta bien al Exchange (servidor) vía HTTPS podemos ejecutar un comando y comprobar como se comporta. Inicio > Ejecutar: "outlook /rcpdiag" y Aceptar. Y mientras abre Outlook podremos ver las conexiones que está abriendo nuestro Outlook, y siempre que ponga TCP/IP estará perfecto. Eso sí, si la velocidad entre el cliente y el servidor es mala, dale a Reintentar la conexión cuando te lo pida y todo irá bien. 09/05/2006 4:28
