1.环境拓扑图:
2.在DMZ区域中安装ExchangeServer 2010邮件服务器,并在内部验证成功发送和接收邮件
3.在Exchange 2010邮件服务器上安装CA证书颁发服务器
安装AD证书服务:
添加“证书颁发机构”和“证书颁发机构Web注册”:
选择“企业CA”:
选择“根CA”:
新建私钥:
加密方式:
CA名称:
有效期:
证书数据库路径:
开始安装:
完成安装:
4.在Exchange 2010邮件服务器的Web服务器上,为默认站点向CA服务器申请网站服务证书
打开Exchange2010服务器,IIS管理控制台,双击“服务器证书”:
点击“创建证书申请”:
在“通用名称”中添加Exchange服务器要发布的FQDN名称:
设置加密类型:
选择文件的存放位置:
在Exchange服务器上打开IE浏览器输入:https://CA服务器的IP地址/certsrv,点击“申请证书”:
选择“使用base编码”:
在保存的申请中,输入当时Exchange服务器保存的记事本中的全部内容,证书模版选择“Web服务器”,点击“提交”:
打开CA管理控制台,企业级CA自动颁发证书:
5.在Exchange服务器中下载证书并安装证书
回到IIS管理控制台,找到“服务器证书”,点击右侧的“完成证书申请”:
找到刚下载的网站证书:
找到网站站点,选择“绑定”,找到“https”,点击“编辑”:
选择协议类型为“https”,端口为“443”,SSL证书为刚刚保存的网站证书:
删除默认的“https-443-127.0.0.1”:
查看结果:
6.在默认站点上把Exchange服务器的证书导出成文件(导出私钥)保存到本机,把该证书文件复制到TMG服务器中,并导入到TMG的服务器(计算机证书)个人证书里
打开Exchange服务器的计算机证书,找到证书导出:
导出私钥:
输入密码:
保存路径:
导出成功:
把Exchange服务器的证书复制到TMG服务器中:
到TMG服务器的计算机证书的个人证书,选择导入:
输入当时的密码:
完成导入:
7.在TMG服务器上创建允许http/https的访问规则
新建访问规则:
输入名称:
选择“允许”:
协议类型选择“https”:
访问源选择“本地主机”,即TMG:
访问目标为“外围”:
查看结果:
8.在TMG服务器上,下载证书链导入到受信任的证书列表中
在TMG服务器上打开IE浏览器输入:https://CA服务器的IP地址/certsrv,点击“下载CA证书、证书链或CRL”:
点击“是”:
选择“下载CA证书”,保存:
在TMG服务器的计算机证书中,找到“受信任的根证书颁发机构”,选择“导入”:
找到刚下载的CA证书:
导入证书的结果:
9.在TMG服务器上创建ExchangeWeb客户端访问发布规则
新建“Exchange Web客户端访问发布规则”:
新建名称:
选择版本为Exchange 2010,Web客户端邮件服务为“Outlook Web Access”:
选择发布类型“发布单个网站或负载平衡器”:
选择“使用SSL连接到发布的Web服务器或服务器场”:
输入内部站点名称,勾选“使用计算机名称或IP地址连接到发布的服务器”,并输入Exchange服务器的IP地址:
输入公用名称:
新建Web侦听器:
选择“需要与客户端建立SSL安全连接”:
选择侦听范围为“外部”:
选择有效的证书:
下一步:
选择身份验证为“没有身份验证”:
完成Web侦听器:
选择身份验证委派为“无委派,客户端无法直接进行身份验证”:
查看结果:
10.修改外部客户机的hosts文件,把发布的证书名称解析为TMG服务器的外网网卡的IP地址,并使用ping命令验证
11.在客户机上使用OWA方式来连接Exchange服务器(https://发布的通用名称/OWA)来验证是否能成功发送和接收邮件
首先在Exchange服务器中新建邮箱用户:
在客户端打开IE浏览器,输入https://发布的公用名称FQDN/owa,并输入邮箱用户和密码:
向内网的管理员发送封测试邮件:
回到内网的管理员的Outlook,发现外网的用户的测试邮件已经到达:
在内网的管理员给外网的用户回复封邮件:
外网的用户也收到了内网管理员发回的回复邮件!
本文转自 nick_zp 51CTO博客,原文链接:http://blog.51cto.com/nickzp/1324892,如需转载请自行联系原作者
