ExchangeServer2010客戶端的安全訪問

實驗描述

預設情況下，MAPI的方式是安全加密的

演示：實現POP3S的方式收發郵件

演示：實驗https的方式實現郵件的收發

證書

1.CA（證書頒發機構）和證書有什麼區別？

CA:shi 伺服器中的一個服務，主要是用來為計算機（使用者）來頒發證書，安裝CA的伺服器稱為證書伺服器

證書：從CA上獲取的一個檔案（工具）

2.證書有什麼作用？

1)安全加密—-HTTPS://

演示：http：www.icbc.com—–工商銀行

http：mail.baidu.com——百度郵箱

2）身份驗證—-U盾（線上支援，或者轉賬時需要U盾），U盾裡面放了一張證書。

3.如何獲取證書？

1）從公網的證書提供商處購買證書

www.verisign.com—全球證書做得最好的 www.ssl.com wwww.wosign.com—-國外的證書廠商

www.icbc.com —工商 www.ccb.com—-建行 www.ebank—上海浦發銀行 mail.baidu.com—百度郵箱，這裡的證書是用的verisign的證書

2）在內部的伺服器上面安裝證書服務，然後通過CA來頒發證書

CA的名稱 vbers Enterprise Root CA

4.在公網上面購買的證書和公司內部部署CA頒發的證書有何區別？

1）相同點：從安全性加密的角度來看，完全一樣。

2)區別：

A：公網上購買的證書，預設情況下所有的客戶端都信任頒發證書的CA；而自己部署的CA預設情況下使用者不信任。

www.earthhome.com—–不受信任的網站

www.12306.cn——鐵道部網站

B:很多的加密時要到CA上去校驗證書的有效性，如果CA沒辦法正常工作，校驗就會以失敗結束，這樣的就無法實現加密。

實驗過程
實驗演示一：基於OWA的客戶端的安全訪問

第一步：在DC上面安裝AD的證書服務，安裝WEB服務

在“執行”中輸入“servermanager.msc”



第二 步：在這裡把註冊證書的web機構勾選上


選擇“企業”，因為是為企業頒發的證書



在此填寫CA的公用名稱“這個地方我填寫有點問題？”理論上填寫“contoso Enterprise Root CA”，關係不大








在Exchange 2010上輸入執行裡面輸入“inetmgr”，然後回車


檢視本地受信任的證書頒發機構


在客戶端通過web來申請證書——在位址列輸入“http：vberscertsrv”


在下面“點選下載CA證書或證書鏈或者CRL即可”


下面選擇下載CA證書鏈

下面點選儲存，這裡我儲存在桌面上


如下圖所示，這就是剛下載好的證書鏈，下面可以右鍵開始匯入這個證書鏈了，直接匯入到被受信任的頒發機構就可以了





這這裡Exchange Sever 2010安裝好後就在自動的在本地生成一張證書，這張證書是自簽名證書，它預設不信任所以的客戶端


下面在Exchange Server 2010上面來建立“域證書”———這裡建立證書的方法是錯誤的，它只能為單個的使用者申請證書，並且只支援單域名的郵箱訪問，僅支援通過OWA來訪問


下面填寫可辨別的證書的資訊———完成後會生成一張證書


呵呵，發現怎麼這個地方是灰色的呢？ 恩，對了，這是因為沒有信任DC上面的vbers Enterprise Root CA這張證書


下面在本地檢視發現沒有這張證書，所以才會顯示是灰色的原因


下面我在Exchange Server 2010上面強制重新整理一下組策略


現在就有這個受信任的頒發機構了



現在發現就沒有問題了，下面給這個建立的證書去一個好的名字——提供外網做身份登入及驗證


現在發現在本地多了一張證書


下面開始繫結https這個訪問埠

把mail.contoso.com這張證書給替換掉


下面開始在客戶端強制重新整理組策略

下面在客戶端通過輸入Internet的訪問的地址：http：mail.contoso.comowa


現在發現沒有包錯誤的提示，發現在位址列處多了一把鎖

檢視證書的路徑

|演示二：通過MAPI來實現安全加密的訪問

使用多域名的訪問方式，這就是正確的演示過程

下面在客戶端刪掉“Marry”的郵箱記錄


新建一個檔案的識別符號，名字可以隨便取

直接的點選下一步的時候，發現Aclice的帳號被自動的勾選上了，這是非常的智慧化，簡化了辦公

呵呵，看到了沒有，這裡提示報錯，說明了什麼？？？

說明：使用web的形式申請的證書不夠本地使用者的使用，所以單域名的證書是不行的，所以這裡要使用多域名的證書才行


下面在伺服器配置裡面選擇“新建Exchange 證書”


為證書去一個好記的名字

這裡我們不使用萬用字元來新建證書，原因是萬用字元申請證書很貴
![](http://i2.51cto.com/images/blog/201712/19/fd8cb886535f95ae82a2fb61202b01a1.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

下面只需要勾選上面的兩項即可，在後面展開後會發現自動的有兩項被勾選上了


下面把“mail.contoso.com”設定為公共名稱—————–提供公網的訪問的域名


下面把新建好的證書匯出到桌面上，並且取一個好記的名字

下面發現多了好多的證書，其中一個是現在申請的，這個是在最前面，有一個是錯誤的申請，排在第二位


下面要做的任務是開啟剛才匯出的檔案，然後copy裡面所以的內容

現在開始訪問通過web來申請基於bash 64編碼的證書

下面點選“申請證書”


下面點選“高階證書申請”


這裡選擇bash64編碼的證書申請


下面在證書模板裡面選擇“web伺服器”，然後點選提交

我在做這個實驗是用IE訪問發現產生了衝突，怎麼弄也無法的把證書下載下面，下面可以通過Firefox遊覽器來訪問，並把證書下載下來，如下所示：

在此處填寫受信任的證書頒發機構

點選“是”


點選“完成擱置請求”


點選遊覽剛才想CA機構申請的證書



點選“為證書分配服務”


把前面四個勾選上

把本地的“自簽名”證書刪掉


現在發現通過OWA訪問時是加密的


檢視證書的的路徑


下面通過MAPI的方式來登入


現在發現此處直接的通過了

通過MAPI的安全登入成功


下面測試通過POP3登入郵箱


此處要選擇手動配置

配置完成後，然後點選“測試賬戶設定”

下面到Exchange 2010上面把POP3服務開啟

下面啟用“匿名使用者”來登入

當你選擇匿名登入的時候，這裡就不需要填寫登入的帳號及密碼了

下面在高階選項裡面勾選上“此伺服器要求加密連線”，然後傳送伺服器的埠修改為587，然後密碼連線型別為自動


POP3的郵箱登入測試成功



到此為止有關OWA、MAPI及POP3的客戶端安全訪問演示結束

本文轉自  vbers 部落格，原文連結：  http://blog.51cto.com/vbers/2051969      如需轉載請自行聯絡原作者