一.OAB概要
脫機通訊薄OAB配置為SSL
涉及到證書的東西就比較複雜了,參考文檔:http://os.51cto.com/art/201012/240589.htm
有兩種方式将OAB分發到用戶端計算機。
1.基于web的分發。這是預設選項,适用于outlook 2007用戶端,建議啟用SSL
2.公用檔案夾分發。适用于outlook 2003或者更早版本的用戶端,OAB生成程序會直接将檔案放入某個公用檔案夾,然後 Exchange 存儲複制會将資料複制到其他公用檔案夾分發點
建立脫機通訊薄
預設情況下,在安裝郵箱伺服器角色時,會建立一個名為“預設脫機通訊簿”的基于 Web 的預設 OAB。此預設 OAB 包含全局位址清單 (GAL)。但是,您可以建立其他 OAB,并将它們與某個郵箱資料庫或共享公用屬性的一組使用者相關聯。這使得使用者可以下載下傳較小的 OAB。在建立 OAB 時,需要定義 OAB 中所包含的位址清單。
預設情況下,在運作 Microsoft Exchange Server 2007 的計算機上安裝用戶端通路伺服器角色CAS時,系統将在 Exchange 伺服器上的預設 IIS 網站中建立名為 OAB 的虛拟目錄。
二、自簽名證書概要
Exchange 2007 安裝程式中提供的預設自簽名證書,不能用于使用 OAB 的 Microsoft Office Outlook 2007 用戶端。必須使用用戶端計算機作業系統信任的證書頒發機構 (CA) 所建立的有效 SSL 證書。Exchange ActiveSync 和 Microsoft Office Outlook Web Access 支援使用自簽名證書,而 Outlook Anywhere(RPC over HTTP改了個名字而已) 則不支援。
Exchange 2010 creates a self-signed SAN(Subject Alternative Name) certificate and assigns it to the services like IMAP, POP, IIS, and SMTP.
導入新證書不會覆寫原有證書。
Exchange 2007之前所有的Exchange服務和協定預設都是不安全的,必須在安裝Exchange後手工安裝SSL證書來加以保護。
到了Exchange 2007時代安裝過程中就會自動生成一個自簽名SSL證書來提升安全。
Exchange 2007中新加入了一個web服務:自動發現服務。用于配置outlook 2007用戶端,尤其是這些特性:忙/閑,自動賬号建立,不在辦公室,離線位址薄,統一消息。
所有的Exchange web服務都是靠安裝的時候建立的自簽名證書來保護的。
同時Exchange 2007也引入了一個新的證書:SAN證書subject alternative name
該證書允許包含多個FQDN名字,如圖就是一個預設自簽名證書帶有多個名字的執行個體
也就是說可以申請一個證書即用于内部也可以用于外部。
比如說内部域名為company.local,外部域名為company.com那麼都可以注冊到同一個證書裡頭。
所有用戶端不會信任自簽名證書,outlook 2007用戶端中依賴自動發現的一些服務也會遇到問題。
為了讓Outlook Anywhere用戶端使用依賴于自動發現服務的一些特性,必須在域名提供商DNS中建立一個FQDN,類似autodiscover.domain.com
這個是在Exchange2007中必須的。
資料:exchange 2010證書申請
http://careexchange.in/how-to-use-a-self-signed-certificate-in-exchange-2010/
管理證書:
http://www.msexchange.org/articles-tutorials/exchange-server-2007/mobility-client-access/securing-exchange-2007-client-access-server-3rd-party-san-certificate.html
Exchange 2007自動發現服務原理
http://server.zdnet.com.cn/server/2008/1107/1220776.shtml
三、請求和送出SAN證書
使用New-ExchangeCertificate(IIS管理器不能申請SAN)
請求中寫明所有内部外部FQDN,例如
mail.company.local
mail.company.com
autodiscover.company.local
autodiscover.company.com
範例:
New-ExchangeCertificate -DomainName e2k7s04.exchangehosting.dk, autodiscover.exchangehosting.dk, mobile.exchangehosting.dk -FriendlyName "Exchange Hosting DK SAN Certificate" -GenerateRequest:$True -Keysize 1024 -path c:\Exchangehosting.txt -privatekeyExportable:$true -subjectName "c=dk, o=Henrik Walther, CN=Exchangehosting.dk"
注意:
如果您必須導出請求證書的副本,以便将其導入到用戶端計算機或另一台伺服器計算機,那麼在建立該請求時,您必須使用 -privatekeyexportable:$true 參數。
文法
名稱
New-ExchangeCertificate
摘要
使用 New-ExchangeCertificate cmdlet 可以為傳輸層安全性 (TLS) 服務和安全套接
字層 (SSL) 服務建立自簽名證書或新的證書請求。
為 SSL 服務和 TLS 服務配置證書時,必須考慮許多變量。必須了解這些變量如何影
響您的整體配置。在繼續之前,請閱讀 證書在 Exchange 2007 Server 中的使用。
四、生成另一個自簽名證書(不可導出)
單獨執行New-ExchangeCertificate 的效果:(不加任何參數會生成了一個自簽名證書證書)
新生成的自簽名
五、檢視證書
使用 Exchange 指令行管理程式确定現有自簽名證書的指紋
運作以下指令:
傳回本地計算機證書存儲中存儲的所有證書。
Get-ExchangeCertificate
檢視所有屬性
get-exchangecertificate | format-list
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {DC1, DC1.xx.com}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=DC1
NotAfter : 2018/4/12 16:35:36
NotBefore : 2013/4/12 16:35:36
PublicKeySize : 2048
RootCAType : None
SerialNumber : 7BFCAA5730A45288473466ADBA8FF94E
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : CN=DC1
Thumbprint : 2FF5E288A9A2D27D2A7E7A24969AED5A5C92F689
檢視特定域的:
Get-ExchangeCertificate -domainname dc1.xx.com
Thumbprint Services Subject
---------- -------- -------
2FF5E288A9A2D27D2A7E7A24969AED5A5C92F689 IP.WS CN=DC1
IP.WS意思是the letters SIP and W stand for SMTP, IMAP, POP3 and Web (IIS).
說明:Exchange 将為域名 mail.contoso.com 選擇的證書。發送或接收連接配接器根據連接配接器的完全限定的域名 (FQDN) 選擇要使用的證書。如果有多個具有相同 FQDN 的證書,則可以通過使用 DomainName 參數指定 FQDN 來檢視 Exchange 将選擇的證書。傳回的第一個證書是 Exchange 将選擇的證書。
六、導出自簽名證書(指令行和GUI)
使用 Exchange 指令行管理程式導出自簽名證書的副本
運作以下指令:
Export-ExchangeCertificate -Thumbprint 2FF5E288A9A2D27D
2A7E7A24969AED5A5C92F689 -BinaryEncoded:$true -Path c:\bak\export.pfx -Password
(Get-Credential).password
會彈出以下對話框,使用者名随便寫,關鍵是密碼,這個對話框是用來設定私鑰保護密碼的。
報錯,無法導出
嘗試用呼吸界面導出,如圖DC1上開啟MMC-證書管理,右鍵點選DC1證書所有任務-導出
發現是灰色的,無法導出
下一步,不能導出pfx格式
七、生成可以導出私鑰的新的自簽名證書,并且導出
執行如下指令:
new-exchangecertificate -PrivateKeyExportable:$true
生成了一個指紋末尾為226的證書
私鑰保護密碼
目前web證書還是指紋為f689結尾的那個。
八、檢視目前用到的證書
get-exchangecertificate | fl
結果如下:
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {DC1, DC1..com}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=DC1
NotAfter : 2018/4/19 16:13:26
NotBefore : 2013/4/19 16:13:26
PublicKeySize : 2048
RootCAType : None
SerialNumber : 12A0BC2241EF0CA04F53F494623EBAA2
Services : IMAP, POP, SMTP
Status : Valid
Subject : CN=DC1
Thumbprint : 507561169D2F4543BA64D853068FE67A43194226
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {DC1, DC1.xx.com}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=DC1
NotAfter : 2018/4/12 16:35:36
NotBefore : 2013/4/12 16:35:36
PublicKeySize : 2048
RootCAType : None
SerialNumber : 7BFCAA5730A45288473466ADBA8FF94E
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : CN=DC1
Thumbprint : 2FF5E288A9A2D27D2A7E7A24969AED5A5C92F689
會發現現在用到的2個證書,原來的那個老的f690的證書還用在IIS上,沒有被新的證書替換
九、啟用新證書
使用如下指令啟用新證書在IIS上。
Enable-ExchangeCertificate -Thumbprint 507561169D2F4543BA64D853068FE67A43194226 -services "pop,imap,smtp,IIS"
如圖可以看都指令前後的狀态
通路https://dc1/owa, 檢視WEB界面上的證書,也變化了,可以看到指紋為226結尾了。原證書可以在證書管理器中删除。
改動之前用的是F689結尾的那個證書。
十、測試SAN證書效果
條件有限,沒錢申請證書,摘錄别人測試的方法
Testing whether the SAN Certificate works as Expected
The SAN certificate has now been properly enabled on the Client Access server, and we should no longer get security warnings, when accessing OWA, as shown in
Figure 7.
SSL Connection to OWA without security warnings
The same goes for Outlook 2007 no matter if we’re accessing an Exchange 2007 user mailbox from the Internet or the internal network. In addition, the Autodiscover service and all features that depend on it should work too as shown in
Figure 8.
Note:You can perform the Outlook 2007 E-mail AutoConfiguration test by holding down CTRL while right-clicking the Outlook icon in the System tray, and then selecting
Test E-mail AutoConfigurationon the context menu.
Successful E-mail AutoConfiguration Test
Finally, Exchange ActiveSync works as expected as long as we use the first SAN in the SANs list in our certificate, which is mobile.exchangehosting.dk (
Figure 10)
Exchange ActiveSync Connection
十一、登入WEB界面
登入到DC1,
打開IIS7管理器,展開預設網站,找到OAB,輕按兩下SSL設定
選擇“要求SSL”,用戶端證書忽略
使用IIS6無法配置,報錯:無法連接配接到 localhost。目标伺服器上未安裝 SMTP 服務。您無法使用 Internet Information Services (6.0) 管理器管理 IIS 7.5 Web 或 FTP 伺服器
從Node1上檢視自身的IIS
直接從Node1通路dc1的web端,http形式:
https形式:因為是自簽名證書,會報錯證書問題,選擇繼續浏覽網站
從實體host上chome浏覽器通路
登入界面說明:
使用者在 Outlook Web Access 登入頁上選擇“此計算機是公用計算機或共享計算機”選項時的預設逾時期限是 15 分鐘。使用者在 Outlook Web Access 登入頁上選擇“此計算機是私人計算機”選項時的預設逾時期限是 12 小時。可以根據組織的要求配置這些設定。
HTTP 标準要求 Web 浏覽器不要将任何 SSL 内容緩存到磁盤中。但是,并非所有 Web 浏覽器都能達到該标準。Internet Explorer 不會緩存 SSL 内容。
登入的話首選得建立郵箱
登入到任意可以通路Exchange管理控制台的主機上,打開Exchange管理控制台,
點選收件人政策-郵箱,右鍵選擇建立郵箱
選擇使用者郵箱
建立新使用者和郵箱可以同時進行,也可以為現有使用者建立郵箱,此處我們選擇”現有使用者“,點選”添加“
選擇使用者
點選郵箱資料庫旁邊的“浏覽”
選擇郵箱資料庫
點選下一步
确認:
建立成功:
因為host上有個虛拟網卡vnet8,IP為192.168.190.1,于其他3個VM都在一個網段,是以可以從host上通路DC1
從Node1上運作
telnet dc1 25
ehlo ok
輸出結果如下: