Exchange Server 2010客户端的安全访问
实验描述
默认情况下,MAPI的方式是安全加密的
演示:实现POP3S的方式收发邮件
演示:实验https的方式实现邮件的收发
证书
1.CA(证书颁发机构)和证书有什么区别?
CA:shi 服务器中的一个服务,主要是用来为计算机(用户)来颁发证书,安装CA的服务器称为证书服务器
证书:从CA上获取的一个文件(工具)
2.证书有什么作用?
1)安全加密----HTTPS://
演示:http:\www.icbc.com-----工商银行
http:\mail.baidu.com------百度邮箱
2)身份验证----U盾(在线支持,或者转账时需要U盾),U盾里面放了一张证书。
3.如何获取证书?
1)从公网的证书提供商处购买证书
www.verisign.com---全球证书做得最好的 www.ssl.com wwww.wosign.com----国外的证书厂商
www.icbc.com ---工商 www.ccb.com----建行 www.ebank---上海浦发银行 mail.baidu.com---百度邮箱,这里的证书是用的verisign的证书
2)在内部的服务器上面安装证书服务,然后通过CA来颁发证书
CA的名称 vbers Enterprise Root CA
4.在公网上面购买的证书和公司内部部署CA颁发的证书有何区别?
1)相同点:从安全性加密的角度来看,完全一样。
2)区别:
A:公网上购买的证书,默认情况下所有的客户端都信任颁发证书的CA;而自己部署的CA默认情况下用户不信任。
www.earthhome.com-----不受信任的网站
www.12306.cn------铁道部网站
B:很多的加密时要到CA上去校验证书的有效性,如果CA没办法正常工作,校验就会以失败结束,这样的就无法实现加密。
实验过程
实验演示一:基于OWA的客户端的安全访问
第一步:在DC上面安装AD的证书服务,安装WEB服务
在"运行"中输入"servermanager.msc"
第二 步:在这里把注册证书的web机构勾选上
选择"企业",因为是为企业颁发的证书
在此填写CA的公用名称"这个地方我填写有点问题?"理论上填写"contoso Enterprise Root CA",关系不大
在Exchange 2010上输入运行里面输入"inetmgr",然后回车
查看本地受信任的证书颁发机构
在客户端通过web来申请证书------在地址栏输入"http:\vbers\certsrv"
在下面"点击下载CA证书或证书链或者CRL即可"
下面选择下载CA证书链
下面点击保存,这里我保存在桌面上
如下图所示,这就是刚下载好的证书链,下面可以右键开始导入这个证书链了,直接导入到被受信任的颁发机构就可以了
这这里Exchange Sever 2010安装好后就在自动的在本地生成一张证书,这张证书是自签名证书,它默认不信任所以的客户端
下面在Exchange Server 2010上面来创建"域证书"---------这里创建证书的方法是错误的,它只能为单个的用户申请证书,并且只支持单域名的邮箱访问,仅支持通过OWA来访问
下面填写可辨别的证书的信息---------完成后会生成一张证书
呵呵,发现怎么这个地方是灰色的呢? 恩,对了,这是因为没有信任DC上面的vbers Enterprise Root CA这张证书
下面在本地查看发现没有这张证书,所以才会显示是灰色的原因
下面我在Exchange Server 2010上面强制刷新一下组策略
现在就有这个受信任的颁发机构了
现在发现就没有问题了,下面给这个创建的证书去一个好的名字------提供外网做身份登录及验证
现在发现在本地多了一张证书
下面开始绑定https这个访问端口
把mail.contoso.com这张证书给替换掉
下面开始在客户端强制刷新组策略
下面在客户端通过输入Internet的访问的地址:http:\mail.contoso.com\owa
现在发现没有包错误的提示,发现在地址栏处多了一把锁
查看证书的路径
|演示二:通过MAPI来实现安全加密的访问
使用多域名的访问方式,这就是正确的演示过程
下面在客户端删掉"Marry"的邮箱记录
新建一个文件的标识符,名字可以随便取
直接的点击下一步的时候,发现Aclice的帐号被自动的勾选上了,这是非常的智能化,简化了办公
呵呵,看到了没有,这里提示报错,说明了什么???
说明:使用web的形式申请的证书不够本地用户的使用,所以单域名的证书是不行的,所以这里要使用多域名的证书才行
下面在服务器配置里面选择"新建Exchange 证书"
为证书去一个好记的名字
这里我们不使用通配符来新建证书,原因是通配符申请证书很贵下面只需要勾选上面的两项即可,在后面展开后会发现自动的有两项被勾选上了
下面把"mail.contoso.com"设置为公共名称-----------------提供公网的访问的域名
下面把新建好的证书导出到桌面上,并且取一个好记的名字
下面发现多了好多的证书,其中一个是现在申请的,这个是在最前面,有一个是错误的申请,排在第二位
下面要做的任务是打开刚才导出的文件,然后copy里面所以的内容
现在开始访问通过web来申请基于bash 64编码的证书
下面点击"申请证书"
下面点击"高级证书申请"
这里选择bash74编码的证书申请
下面在证书模板里面选择"web服务器",然后点击提交
我在做这个实验是用IE访问发现产生了冲突,怎么弄也无法的把证书下载下面,下面可以通过Firefox游览器来访问,并把证书下载下来,如下所示:
在此处填写受信任的证书颁发机构
点击"是"
点击"完成搁置请求"
点击游览刚才想CA机构申请的证书
点击"为证书分配服务"
把前面四个勾选上
把本地的"自签名"证书删掉
现在发现通过OWA访问时是加密的
查看证书的的路径
下面通过MAPI的方式来登录
现在发现此处直接的通过了
通过MAPI的安全登录成功
下面测试通过POP3登录邮箱
此处要选择手动配置
配置完成后,然后点击"测试账户设置"
下面到Exchange 2010上面把POP3服务开启
下面启用"匿名用户"来登录
当你选择匿名登录的时候,这里就不需要填写登录的帐号及密码了
下面在高级选项里面勾选上"此服务器要求加密连接",然后发送服务器的端口修改为587,然后密码连接类型为自动
POP3的邮箱登录测试成功
到此为止有关OWA、MAPI及POP3的客户端安全访问演示结束
