Come configurare Outlook Web Access per utilizzare una smart card

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2008-03-19

In questo argomento viene descritto come utilizzare Exchange Management Console o Exchange Management Shell e Gestione IIS per configurare Microsoft Office Outlook Web Access affinché utilizzi smart card per l'autenticazione utente.

Le smart card sono un sistema inalterabile e portatile per aiutare a fornire soluzioni di protezione per attività quali autenticazione client, firma dei codici e protezione della posta elettronica.

Le smart card forniscono le seguenti funzionalità:

• Archiviazione inalterabile per proteggere chiavi private e altre forme di informazioni personali.

• Isolamento di calcoli importanti per la protezione richiesti durante l'autenticazione, nelle firme digitali e nello scambio di chiavi da altre parti del computer che non richiedono tali dati. Tutte queste operazioni vengono svolte nella smart card.

• Portabilità delle credenziali e altre informazioni private tra computer al lavoro, a casa o in viaggio.

Informazioni preliminari

L'autenticazione con smart card richiede la crittografia SSL (Secure Sockets Layer). Per impostazione predefinita, Outlook Web Access utilizza SSL. Se si è configurato Outlook Web Access in modo da non richiedere SSL e si desidera che i propri utenti siano in grado di utilizzare smart card, è necessario riconfigurare Outlook Web Access per richiedere SSL. Vedere Come configurare le directory virtuali di Outlook Web Access per l'utilizzo di SSL.

È inoltre necessario richiedere e configurare un certificato da un'autorità di certificazione (CA, Certification Authority). Vedere le risorse indicate di seguito per informazioni su come implementare e gestire smart card:

• Il primo passaggio prevede la richiesta e la configurazione di un certificato da una CA. Per informazioni su come ottenere e configurare un certificato da una CA, vedere la Guida alla pianificazione dell'accesso protetto mediante smart card.

• Per una panoramica dei requisiti per l'utilizzo di smart card, vedere Capitolo 4 - Utilizzo di smart card per la protezione degli account di accesso remoto.

• Per i collegamenti a informazioni sull'utilizzo e l'amministrazione di smart card, vedere Procedure relative alle smart card.

• Potrebbe essere necessario aggiornare i propri client per abilitarli all'utilizzo di smart card. Per informazioni dettagliate su come eseguire l'operazione, vedere Descrizione dell'aggiornamento software per il provider del servizio di crittografia (CSP, Cryptographic Service Provider) di Base Smart Card.

Le smart card forniscono un tipo speciale di autenticazione del certificato. Dopo aver verificato che il server Accesso client è stato configurato per richiedere SSL e dopo aver richiesto e configurato un certificato da una CA, è necessario configurare il server Accesso client per l'utilizzo dell'autenticazione del certificato.

Per eseguire le procedure riportate di seguito, è necessario utilizzare un account che disponga della delega del ruolo Exchange Server Administrator e dell'appartenenza al gruppo Administrators locale del server di destinazione.

Per ulteriori informazioni sulle autorizzazioni, sulla delega dei ruoli e sui diritti necessari per l'amministrazione di Exchange Server 2007, vedere Considerazioni sulle autorizzazioni.

Procedura

Per utilizzare IIS Manager 6.0 e configurare le directory virtuali di Outlook Web Access per utilizzare l'autenticazione del certificato

1. In Gestione IIS fare clic con il pulsante destro del mouse su Siti Web, quindi su Proprietà.

2. Nella scheda Protezione directory verificare che la casella di controllo Abilita utilità di mapping servizio directory Windows sia selezionata.

3. Fare clic su OK per chiudere la finestra delle proprietà di Siti Web.

4. Espandere il sito Web in cui sono ospitate le directory virtuali di Outlook Web Access. Di solito si tratta del sito denominato Sito Web predefinito. Fare clic con il pulsante destro del mouse sulla directory virtuale di Outlook Web Access da configurare per utilizzare l'autenticazione del certificato, quindi fare clic su Proprietà.

5. Nella scheda Protezione directory, in Comunicazioni protette fare clic su Modifica.

6. Nella sezione Comunicazioni protette, selezionare Richiedi un canale protetto (SSL), se non è già selezionato.

   Nota

   Se si utilizza un certificato SSL creato durante l'installazione di Microsoft Exchange, verrà visualizzato un messaggio di errore indicante che il certificato proviene da una Autorità di certificazione non disponibile nell'elenco locale. Assicurarsi che l'Autorità di certificazione (CA) che ha emesso il certificato sia considerata attendibile oppure utilizzare un certificato SSL emesso da un'Autorità di certificazione considerata attendibile.

7. Nella sezione Certificati client selezionare Richiedi certificati dei client.

8. Selezionare l'opzione che consente di abilitare il mapping del certificato client.

9. Fare clic su OK per salvare le modifiche.

Dopo aver configurato Gestione IIS per l'utilizzo dell'autenticazione del certificato, è necessario disabilitare tutti i metodi di autenticazione nelle directory virtuali di Outlook Web Access in Exchange. Per eseguire l'operazione è possibile utilizzare Exchange Management Console o Exchange Management Shell.

Per utilizzare Exchange Management Console per la configurazione di Outlook Web Access senza utilizzo di alcun metodo di autenticazione

1. In Exchange Management Console, fare clic su Configurazione server, quindi su Accesso client.

   Nota

   Per abilitare Outlook Web Access ad accettare l'accesso anonimo, è necessario disabilitare tutte le forme di autenticazione.

2. Nella scheda Outlook Web Access, aprire le proprietà della directory virtuale che si desidera configurare per l'utilizzo dell'accesso anonimo.

3. Fare clic sulla scheda Autenticazione.

4. Selezionare Utilizza uno o più metodi di autenticazione standard.

5. Non selezionare un metodo di autenticazione. Se è selezionato un metodo di autenticazione, fare clic sulla casella di controllo per deselezionarla.

6. Scegliere OK.

7. Verrà ricevuto un avviso per indicare che non è stato scelto alcun metodo di autenticazione e si verrà indirizzati all'utilizzo di Exchange Management Shell per impostare un metodo di autenticazione. Fare clic su OK per chiudere l'avviso.

8. Riavviare IIS aprendo una finestra del prompt dei comandi e digitando il comando iisreset/noforce.

Per utilizzare Exchange Management Shell per la configurazione di Outlook Web Access senza utilizzo di alcun metodo di autenticazione

1. Aprire Exchange Management Shell sul server Accesso client che ospita le directory virtuali di Outlook Web Access da configurare.

   Nota

   Per abilitare Outlook Web Access ad accettare l'accesso anonimo, è necessario disabilitare tutte le forme di autenticazione.

2. Per disabilitare l'autenticazione basata su form nella directory virtuale /owa e nel sito denominato Sito Web predefinito, eseguire il comando riportato di seguito.

   Set-owavirtualdirectory -identity "owa (Default Web Site)" -FormsAuthentication:$false
   

3. Per disabilitare tutte le forme di autenticazione nella directory virtuale /owa e nel sito denominato Sito Web predefinito, eseguire il comando riportato di seguito.

   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
   

4. Quando è stato disabilitato l'ultimo metodo di autenticazione, verrà ricevuto un avviso per indicare che non è stato specificato alcun metodo di autenticazione per la directory virtuale e verrà chiesto di utilizzare il cmdlet Set-OwaVirtualDirectory per specificarne uno. L'avviso va ignorato.

5. Riavviare IIS aprendo una finestra del prompt dei comandi e digitando il comando iisreset/noforce.

Per ulteriori informazioni sulla sintassi e sui parametri, vedere Set-OwaVirtualDirectory.

Ulteriori informazioni

Per ulteriori informazioni sui metodi di autenticazione per Outlook Web Access, vedere Gestione della protezione di Outlook Web Access.