全方位跟踪配置Exchange ActvieSync使用证书验证方式-阿里云开发者社区

开发者社区> 开发与运维> 正文
登录阅读全文

全方位跟踪配置Exchange ActvieSync使用证书验证方式

简介:

      前两段话为费话,请节约时间的人绕行。

      工作中需要用到Exchange ActiveSync证书认证的方式,问了同事们没有一个会做,公司的ActiveSync也只是用到了Basic authentication, 而且都是由国外的同事维护的。没办法只好自己来了,可是不料在国内网站上只找到一些很少的片断,不全面也不系统,对于我这样的小白来说,看了之后只会越来越糊涂。在微软的官网上倒是很全面,但是被分成了多个主题,每个功能和配置点都有很多种情况,对于自己想要做的却很难挑出针对性的内容,微软的这种帮助文档适合对其产品各模块比较熟悉的人,看了之后能自行将之串联起来。我自己配置了一下,发现坑还是挺多的,总是不成功。那怎么办呢?

      还得到国外站点。在国外站点找到3篇关于Exchange证书验证配置的文章,照着配置了一遍,结果ipad就可以用证书验证收邮件了。不得不佩服国外人的敬业态度,写得详细,事无巨细,图文并茂,层次分明,值得学习。本来我是想自己写一篇的,但考虑到时间成本问题,既然大牛们已经有现成的,不如发扬拿来主义,真接贴过来,以备不时之需。为了不让搜到这篇文章的人过于鄙视,我就略做整理归纳一下了。

        

      准备知识(不知道的可以百度):

        1. 微软Exchange服务器与ActiveSync服务。

        2. 微软域(Active Directory)服务。

        3. 微软IIS服务。

        4. 微软三种验证方式,Basic, Windows Integration, Certificate authentication. 当然还有其他验证方式如kerberos等,不在ActiveSync支持范围。

        5. 数字证书架构和证书格式。

        6. SSL协议使用Client端证书。

        7. 微软证书服务器的搭建。    

        8. 移动设备ActiveSync客户端,iOS自带的有Exchange和普通邮件客户端,android也有自带的,这就足够了。


      知道这些之后就可以在server端配置了。这是我总结的几个主要步骤(没有明确的先后顺序):

        1. 首先要有Exchange Server服务器和IIS服务器,相信看这篇文章的人应该都有了,而且一般这种环境都会和windows域集成。

        2. 安装微软证书服务器,用于为用户和Exchange server颁发证书。

        3. 为Exchange Server申请和颁发证书。

        4. 为Exchange Server指派证书。    

        5. 在AD中开启客户端证书验证方式。

          6. 在Exchange Server中配置ActiveSync的验证方式为需要证书。

          7. 开启IIS中ActiveSync虚拟目录的Authentication Mapping。

          8. 为域用户申请和颁发证书。


      下面就是我找到的三篇文章。

    http://exchangeserverpro.com/configure-an-ssl-certificate-for-exchange-server-2010/


    http://www.msexchange.org/articles-tutorials/exchange-server-2010/mobility-client-access/configuring-certificate-based-authentication-exchange-2010-activesync-part1.html


    http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx


      第一篇主要讲如何为Exchange Server申请证书,该证书是服务器证书,用于客户端与服务端连接时服务器端的验证,这使用的是SSL的协议,有人说不使用SSL协议不能用证书验证方式吗?SSL协议是证书的载体,证书通过SSL的报文来发送的,所以没有SSL也就传输不了证书了。在申请Exchange server证书时有一点一定要注意,就是证书的Subject字段中必须包含有你正在使用的的Server的全域名(如 CN = www.exchange.com)或者通配符域名(CN  = *.exchange.com),如果Subject中没有可以在Subject Alternative Name中加入也行, 否则验证会有问题。

    

      第二篇主要讲如何为Exchange ActiveSync服务设置使用证书的验证方式。里面除optional的步骤,其他都是必须的。注意里面的Figure 10中的clientCertificateMappingAuthentication命令可以通过第三篇中的IIS Configuration Editor来配置,效果是一样的。


      第三篇中有不少细节配置是前两篇没提到的,或者是没有强调到的,比如User Principal Name必须匹配Subject Name,  IIS Admin Service的重启等。



如果我写的有什么不对之处或者您在配置过程中有什么问题,请留言指出。



本文转自 拾瓦兴阁 51CTO博客,原文链接:http://blog.51cto.com/ponyjia/1619932


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章