ExchangeServer2010客戶端的安全訪問
實驗描述
預設情況下,MAPI的方式是安全加密的
演示:實現POP3S的方式收發郵件
演示:實驗https的方式實現郵件的收發
證書
1.CA(證書頒發機構)和證書有什麼區別?
CA:shi 伺服器中的一個服務,主要是用來為計算機(使用者)來頒發證書,安裝CA的伺服器稱為證書伺服器
證書:從CA上獲取的一個檔案(工具)
2.證書有什麼作用?
1)安全加密—-HTTPS://
演示:http:www.icbc.com—–工商銀行
http:mail.baidu.com——百度郵箱
2)身份驗證—-U盾(線上支援,或者轉賬時需要U盾),U盾裡面放了一張證書。
3.如何獲取證書?
1)從公網的證書提供商處購買證書
www.verisign.com—全球證書做得最好的 www.ssl.com wwww.wosign.com—-國外的證書廠商
www.icbc.com —工商 www.ccb.com—-建行 www.ebank—上海浦發銀行 mail.baidu.com—百度郵箱,這裡的證書是用的verisign的證書
2)在內部的伺服器上面安裝證書服務,然後通過CA來頒發證書
CA的名稱 vbers Enterprise Root CA
4.在公網上面購買的證書和公司內部部署CA頒發的證書有何區別?
1)相同點:從安全性加密的角度來看,完全一樣。
2)區別:
A:公網上購買的證書,預設情況下所有的客戶端都信任頒發證書的CA;而自己部署的CA預設情況下使用者不信任。
www.earthhome.com—–不受信任的網站
www.12306.cn——鐵道部網站
B:很多的加密時要到CA上去校驗證書的有效性,如果CA沒辦法正常工作,校驗就會以失敗結束,這樣的就無法實現加密。
實驗過程
實驗演示一:基於OWA的客戶端的安全訪問
第一步:在DC上面安裝AD的證書服務,安裝WEB服務
在“執行”中輸入“servermanager.msc”
第二 步:在這裡把註冊證書的web機構勾選上
選擇“企業”,因為是為企業頒發的證書
在此填寫CA的公用名稱“這個地方我填寫有點問題?”理論上填寫“contoso Enterprise Root CA”,關係不大
在Exchange 2010上輸入執行裡面輸入“inetmgr”,然後回車
檢視本地受信任的證書頒發機構
在客戶端通過web來申請證書——在位址列輸入“http:vberscertsrv”
在下面“點選下載CA證書或證書鏈或者CRL即可”
下面選擇下載CA證書鏈
下面點選儲存,這裡我儲存在桌面上
如下圖所示,這就是剛下載好的證書鏈,下面可以右鍵開始匯入這個證書鏈了,直接匯入到被受信任的頒發機構就可以了
這這裡Exchange Sever 2010安裝好後就在自動的在本地生成一張證書,這張證書是自簽名證書,它預設不信任所以的客戶端
下面在Exchange Server 2010上面來建立“域證書”———這裡建立證書的方法是錯誤的,它只能為單個的使用者申請證書,並且只支援單域名的郵箱訪問,僅支援通過OWA來訪問
下面填寫可辨別的證書的資訊———完成後會生成一張證書
呵呵,發現怎麼這個地方是灰色的呢? 恩,對了,這是因為沒有信任DC上面的vbers Enterprise Root CA這張證書
下面在本地檢視發現沒有這張證書,所以才會顯示是灰色的原因
下面我在Exchange Server 2010上面強制重新整理一下組策略
現在就有這個受信任的頒發機構了
現在發現就沒有問題了,下面給這個建立的證書去一個好的名字——提供外網做身份登入及驗證
現在發現在本地多了一張證書
下面開始繫結https這個訪問埠
把mail.contoso.com這張證書給替換掉
下面開始在客戶端強制重新整理組策略
下面在客戶端通過輸入Internet的訪問的地址:http:mail.contoso.comowa
現在發現沒有包錯誤的提示,發現在位址列處多了一把鎖
檢視證書的路徑
|演示二:通過MAPI來實現安全加密的訪問
使用多域名的訪問方式,這就是正確的演示過程
下面在客戶端刪掉“Marry”的郵箱記錄
新建一個檔案的識別符號,名字可以隨便取
直接的點選下一步的時候,發現Aclice的帳號被自動的勾選上了,這是非常的智慧化,簡化了辦公
呵呵,看到了沒有,這裡提示報錯,說明了什麼???
說明:使用web的形式申請的證書不夠本地使用者的使用,所以單域名的證書是不行的,所以這裡要使用多域名的證書才行
下面在伺服器配置裡面選擇“新建Exchange 證書”
為證書去一個好記的名字
這裡我們不使用萬用字元來新建證書,原因是萬用字元申請證書很貴
下面只需要勾選上面的兩項即可,在後面展開後會發現自動的有兩項被勾選上了
下面把“mail.contoso.com”設定為公共名稱—————–提供公網的訪問的域名
下面把新建好的證書匯出到桌面上,並且取一個好記的名字
下面發現多了好多的證書,其中一個是現在申請的,這個是在最前面,有一個是錯誤的申請,排在第二位
下面要做的任務是開啟剛才匯出的檔案,然後copy裡面所以的內容
現在開始訪問通過web來申請基於bash 64編碼的證書
下面點選“申請證書”
下面點選“高階證書申請”
這裡選擇bash64編碼的證書申請
下面在證書模板裡面選擇“web伺服器”,然後點選提交
我在做這個實驗是用IE訪問發現產生了衝突,怎麼弄也無法的把證書下載下面,下面可以通過Firefox遊覽器來訪問,並把證書下載下來,如下所示:
在此處填寫受信任的證書頒發機構
點選“是”
點選“完成擱置請求”
點選遊覽剛才想CA機構申請的證書
點選“為證書分配服務”
把前面四個勾選上
把本地的“自簽名”證書刪掉
現在發現通過OWA訪問時是加密的
檢視證書的的路徑
下面通過MAPI的方式來登入
現在發現此處直接的通過了
通過MAPI的安全登入成功
下面測試通過POP3登入郵箱
此處要選擇手動配置
配置完成後,然後點選“測試賬戶設定”
下面到Exchange 2010上面把POP3服務開啟
下面啟用“匿名使用者”來登入
當你選擇匿名登入的時候,這裡就不需要填寫登入的帳號及密碼了
下面在高階選項裡面勾選上“此伺服器要求加密連線”,然後傳送伺服器的埠修改為587,然後密碼連線型別為自動
POP3的郵箱登入測試成功
到此為止有關OWA、MAPI及POP3的客戶端安全訪問演示結束
本文轉自 vbers 部落格,原文連結: http://blog.51cto.com/vbers/2051969 如需轉載請自行聯絡原作者
相關文章
- 遠端客戶端 訪問 ASM 例項客戶端ASM
- 客戶端訪問POP3--SMTP客戶端
- Docker部署mysql並提供客戶端訪問DockerMySql客戶端
- 客戶端 post ,get 訪問伺服器客戶端伺服器
- 限制訪問Oracle客戶端IP方法總結Oracle客戶端
- 用VB編寫OPC客戶端訪問WINCC (轉)客戶端
- Nginx基於客戶端請求頭的訪問分類Nginx客戶端
- 客戶端(windows)訪問FTP伺服器遇到的問題(總結)客戶端WindowsFTP伺服器
- FastDFS-nginx外掛作為FastDFS客戶端訪問ASTNginx客戶端
- EVE-NG初次啟動及WEB客戶端訪問Web客戶端
- asp.net 獲取客戶端瀏覽器訪問的IP地址ASP.NET客戶端瀏覽器
- JAVA FTP客戶端問題JavaFTP客戶端
- xfire 客戶端呼叫webservice的問題客戶端Web
- TSM客戶端的排程問題客戶端
- frp內網穿透,客戶端能訪問,服務端訪問報錯404,有兄弟遇到過嗎FRP內網穿透客戶端服務端
- 合規報告:控制客戶端雲訪問的第一步客戶端
- Java Socket程式設計系列(三)開發支援單客戶端訪問的ServerJava程式設計客戶端Server
- RAC客戶端訪問DB只能用VIP不能用VIP對應的hostname客戶端
- 不用安裝oracle客戶端,PL/SQL也能遠端訪問資料庫Oracle客戶端SQL資料庫
- PC客戶端安全測試服務客戶端
- 客戶端tnsping不通問題客戶端
- mysql賬戶新增遠端訪問MySql
- CAS (3) —— Mac下配置CAS客戶端經代理訪問Tomcat CASMac客戶端Tomcat
- SnailSVN 專業版:與訪達整合的 SVN 客戶端AI客戶端
- Web客戶端安全性最佳實踐Web客戶端
- 客戶端爬取-答網友問客戶端
- MySQL客戶端中文亂碼問題。MySql客戶端
- oracle客戶端同sap衝突的問題Oracle客戶端
- 《samba搭建win客戶端和linux客戶端的區別》Samba客戶端Linux
- dubbo客戶端客戶端
- Pulsar客戶端客戶端
- mqtt 客戶端MQQT客戶端
- MQTTJava客戶端的使用MQQTJava客戶端
- redis客戶端的使用Redis客戶端
- IE客戶客戶端程式開發的利器Bindows客戶端
- 淘寶客戶端安全生產體系建設客戶端
- 實戰:Windows防火牆保護客戶端安全Windows防火牆客戶端
- Nacos - 客戶端心跳續約及客戶端總結客戶端