Exchange Server 2010客戶端的安全訪問(wèn)

實(shí)驗(yàn)描述
默認(rèn)情況下，MAPI的方式是安全加密的
演示：實(shí)現(xiàn)POP3S的方式收發(fā)郵件
演示：實(shí)驗(yàn)https的方式實(shí)現(xiàn)郵件的收發(fā)

證書(shū)
1.CA（證書(shū)頒發(fā)機(jī)構(gòu)）和證書(shū)有什么區(qū)別？
CA:shi 服務(wù)器中的一個(gè)服務(wù)，主要是用來(lái)為計(jì)算機(jī)（用戶）來(lái)頒發(fā)證書(shū)，安裝CA的服務(wù)器稱為證書(shū)服務(wù)器
證書(shū)：從CA上獲取的一個(gè)文件（工具）
2.證書(shū)有什么作用？
1)安全加密----HTTPS://
演示：http：\www.icbc.com-----工商銀行
http：\mail.baidu.com------百度郵箱

2）身份驗(yàn)證----U盾（在線支持，或者轉(zhuǎn)賬時(shí)需要U盾），U盾里面放了一張證書(shū)。
3.如何獲取證書(shū)？
1）從公網(wǎng)的證書(shū)提供商處購(gòu)買(mǎi)證書(shū)

www.verisign.com---全球證書(shū)做得最好的 www.ssl.com wwww.wosign.com----國(guó)外的證書(shū)廠商
www.icbc.com ---工商 www.ccb.com----建行 www.ebank---上海浦發(fā)銀行 mail.baidu.com---百度郵箱，這里的證書(shū)是用的verisign的證書(shū)

2）在內(nèi)部的服務(wù)器上面安裝證書(shū)服務(wù)，然后通過(guò)CA來(lái)頒發(fā)證書(shū)

CA的名稱 vbers Enterprise Root CA
4.在公網(wǎng)上面購(gòu)買(mǎi)的證書(shū)和公司內(nèi)部部署CA頒發(fā)的證書(shū)有何區(qū)別？
1）相同點(diǎn)：從安全性加密的角度來(lái)看，完全一樣。
2)區(qū)別：
A：公網(wǎng)上購(gòu)買(mǎi)的證書(shū)，默認(rèn)情況下所有的客戶端都信任頒發(fā)證書(shū)的CA；而自己部署的CA默認(rèn)情況下用戶不信任。
www.earthhome.com-----不受信任的網(wǎng)站
www.12306.cn------鐵道部網(wǎng)站

B:很多的加密時(shí)要到CA上去校驗(yàn)證書(shū)的有效性，如果CA沒(méi)辦法正常工作，校驗(yàn)就會(huì)以失敗結(jié)束，這樣的就無(wú)法實(shí)現(xiàn)加密。

實(shí)驗(yàn)過(guò)程
實(shí)驗(yàn)演示一：基于OWA的客戶端的安全訪問(wèn)
第一步：在DC上面安裝AD的證書(shū)服務(wù)，安裝WEB服務(wù)
在“運(yùn)行”中輸入“servermanager.msc”


第二 步：在這里把注冊(cè)證書(shū)的web機(jī)構(gòu)勾選上

選擇“企業(yè)”，因?yàn)槭菫槠髽I(yè)頒發(fā)的證書(shū)


在此填寫(xiě)CA的公用名稱“這個(gè)地方我填寫(xiě)有點(diǎn)問(wèn)題？”理論上填寫(xiě)“contoso Enterprise Root CA”，關(guān)系不大







在Exchange 2010上輸入運(yùn)行里面輸入“inetmgr”，然后回車(chē)

查看本地受信任的證書(shū)頒發(fā)機(jī)構(gòu)

在客戶端通過(guò)web來(lái)申請(qǐng)證書(shū)------在地址欄輸入“http：\vbers\certsrv”

在下面“點(diǎn)擊下載CA證書(shū)或證書(shū)鏈或者CRL即可”

下面選擇下載CA證書(shū)鏈

下面點(diǎn)擊保存，這里我保存在桌面上

如下圖所示，這就是剛下載好的證書(shū)鏈，下面可以右鍵開(kāi)始導(dǎo)入這個(gè)證書(shū)鏈了，直接導(dǎo)入到被受信任的頒發(fā)機(jī)構(gòu)就可以了




這這里Exchange Sever 2010安裝好后就在自動(dòng)的在本地生成一張證書(shū)，這張證書(shū)是自簽名證書(shū)，它默認(rèn)不信任所以的客戶端

下面在Exchange Server 2010上面來(lái)創(chuàng)建“域證書(shū)”---------這里創(chuàng)建證書(shū)的方法是錯(cuò)誤的，它只能為單個(gè)的用戶申請(qǐng)證書(shū)，并且只支持單域名的郵箱訪問(wèn)，僅支持通過(guò)OWA來(lái)訪問(wèn)

下面填寫(xiě)可辨別的證書(shū)的信息---------完成后會(huì)生成一張證書(shū)

呵呵，發(fā)現(xiàn)怎么這個(gè)地方是灰色的呢？ 恩，對(duì)了，這是因?yàn)闆](méi)有信任DC上面的vbers Enterprise Root CA這張證書(shū)

下面在本地查看發(fā)現(xiàn)沒(méi)有這張證書(shū)，所以才會(huì)顯示是灰色的原因

下面我在Exchange Server 2010上面強(qiáng)制刷新一下組策略

現(xiàn)在就有這個(gè)受信任的頒發(fā)機(jī)構(gòu)了


現(xiàn)在發(fā)現(xiàn)就沒(méi)有問(wèn)題了，下面給這個(gè)創(chuàng)建的證書(shū)去一個(gè)好的名字------提供外網(wǎng)做身份登錄及驗(yàn)證

現(xiàn)在發(fā)現(xiàn)在本地多了一張證書(shū)

下面開(kāi)始綁定https這個(gè)訪問(wèn)端口

把mail.contoso.com這張證書(shū)給替換掉

下面開(kāi)始在客戶端強(qiáng)制刷新組策略

下面在客戶端通過(guò)輸入Internet的訪問(wèn)的地址：http：\mail.contoso.com\owa

現(xiàn)在發(fā)現(xiàn)沒(méi)有包錯(cuò)誤的提示，發(fā)現(xiàn)在地址欄處多了一把鎖

查看證書(shū)的路徑

|演示二：通過(guò)MAPI來(lái)實(shí)現(xiàn)安全加密的訪問(wèn)
使用多域名的訪問(wèn)方式，這就是正確的演示過(guò)程
下面在客戶端刪掉“Marry”的郵箱記錄

新建一個(gè)文件的標(biāo)識(shí)符，名字可以隨便取

直接的點(diǎn)擊下一步的時(shí)候，發(fā)現(xiàn)Aclice的帳號(hào)被自動(dòng)的勾選上了，這是非常的智能化，簡(jiǎn)化了辦公

呵呵，看到了沒(méi)有，這里提示報(bào)錯(cuò)，說(shuō)明了什么？？？
說(shuō)明：使用web的形式申請(qǐng)的證書(shū)不夠本地用戶的使用，所以單域名的證書(shū)是不行的，所以這里要使用多域名的證書(shū)才行

下面在服務(wù)器配置里面選擇“新建Exchange 證書(shū)”

為證書(shū)去一個(gè)好記的名字

這里我們不使用通配符來(lái)新建證書(shū)，原因是通配符申請(qǐng)證書(shū)很貴
![](https://s1.51cto.com/images/blog/201712/19/fd8cb886535f95ae82a2fb61202b01a1.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

下面只需要勾選上面的兩項(xiàng)即可，在后面展開(kāi)后會(huì)發(fā)現(xiàn)自動(dòng)的有兩項(xiàng)被勾選上了

下面把“mail.contoso.com”設(shè)置為公共名稱-----------------提供公網(wǎng)的訪問(wèn)的域名

下面把新建好的證書(shū)導(dǎo)出到桌面上，并且取一個(gè)好記的名字

下面發(fā)現(xiàn)多了好多的證書(shū)，其中一個(gè)是現(xiàn)在申請(qǐng)的，這個(gè)是在最前面，有一個(gè)是錯(cuò)誤的申請(qǐng)，排在第二位

下面要做的任務(wù)是打開(kāi)剛才導(dǎo)出的文件，然后copy里面所以的內(nèi)容

現(xiàn)在開(kāi)始訪問(wèn)通過(guò)web來(lái)申請(qǐng)基于bash 64編碼的證書(shū)

下面點(diǎn)擊“申請(qǐng)證書(shū)”

下面點(diǎn)擊“高級(jí)證書(shū)申請(qǐng)”

這里選擇bash74編碼的證書(shū)申請(qǐng)

下面在證書(shū)模板里面選擇“web服務(wù)器”，然后點(diǎn)擊提交

我在做這個(gè)實(shí)驗(yàn)是用IE訪問(wèn)發(fā)現(xiàn)產(chǎn)生了沖突，怎么弄也無(wú)法的把證書(shū)下載下面，下面可以通過(guò)Firefox游覽器來(lái)訪問(wèn)，并把證書(shū)下載下來(lái)，如下所示：

在此處填寫(xiě)受信任的證書(shū)頒發(fā)機(jī)構(gòu)

點(diǎn)擊“是”

點(diǎn)擊“完成擱置請(qǐng)求”

點(diǎn)擊游覽剛才想CA機(jī)構(gòu)申請(qǐng)的證書(shū)


點(diǎn)擊“為證書(shū)分配服務(wù)”

把前面四個(gè)勾選上

把本地的“自簽名”證書(shū)刪掉

現(xiàn)在發(fā)現(xiàn)通過(guò)OWA訪問(wèn)時(shí)是加密的

查看證書(shū)的的路徑

下面通過(guò)MAPI的方式來(lái)登錄

現(xiàn)在發(fā)現(xiàn)此處直接的通過(guò)了

通過(guò)MAPI的安全登錄成功

下面測(cè)試通過(guò)POP3登錄郵箱

此處要選擇手動(dòng)配置

配置完成后，然后點(diǎn)擊“測(cè)試賬戶設(shè)置”

下面到Exchange 2010上面把POP3服務(wù)開(kāi)啟

下面啟用“匿名用戶”來(lái)登錄

當(dāng)你選擇匿名登錄的時(shí)候，這里就不需要填寫(xiě)登錄的帳號(hào)及密碼了

下面在高級(jí)選項(xiàng)里面勾選上“此服務(wù)器要求加密連接”，然后發(fā)送服務(wù)器的端口修改為587，然后密碼連接類型為自動(dòng)

POP3的郵箱登錄測(cè)試成功


到此為止有關(guān)OWA、MAPI及POP3的客戶端安全訪問(wèn)演示結(jié)束