2008年(8065)
分类: 服务器与存储
2008-07-04 15:34:00
在Windows 移动设备上安装证书
1. 在本地计算机上右键点击根证书.cer文件,然后点击拷贝。
2. 打开Windows浏览器窗口,然后浏览到My Computer。
3. 双击移动设备按钮来查看您的设备上的文件夹。
4. 右键点击您想拷贝根证书的文件,然后点击粘贴。
5. 当该根证书拷贝到移动设备上,关闭Windows浏览器窗口。
6. 在您的设备上,打开File Explorer,然后浏览到您拷贝该根证书的文件夹。
7. 选择该根证书。
8. 当被提示安装该证书的时候,点击Yes。
重要信息:
您将不会收到安装已经成功的消息。
第四步:在DNS中创建必须的主机记录
在大多数情况,您在外部DNS中已经拥有一个主机记录,您的用户将该主机名来连接到您的Exchange邮件系统,例如,mail.contoso.com,通过Outlook Web Access,Exchange ActiveSync或者Outlook Anywhere。为了让Autodiscover服务工作正常,您必须增加一个额外的主机记录以便Outlook 2007客户端能够找到并连接到自动发现服务,当他们从Internet使用Outlook anywhere特性的时候。为了完成它,您创建的主机记录应该映射到该公共IP地址,该IP被用作您的客户端访问的入口点。
第五步:配置Exchange服务URL
现在您已经为了您的自动发现服务部署场景配置了套接字层,为了外部访问,您必须配置您的Exchange服务。
场景1的总结
在您配置Exchange使用支持多个DNS名称的安全套接字层证书,和根据需要修改Exchange服务URL之后,加入域的客户端将参考Exchange服务的内部URL,这些URL被自动设置当客户端访问服务器角色被安装的时候,那些没有加入域的客户端,将使用您作为该过程一部分输入的外部URL来连接。如果您的证书包含了所有必须的DNS名称,加入域的和没有加入域的客户端都能够成功地连接到自动发现服务,而不会收到安全告警因为名称不匹配。加入域的客户端将通过参考SCP对象来找到自动发现。相反的,没有加入域的客户端查找SCP对象会失败,切换到使用DNS。
场景2如何使用单一名称的证书
下面我们将描述如何使用单一名称证书,其证书的公用名称参考主机名称,用户将使用它从Internet连接到Exchange,例如,mail.contoso.com。
第一步:在缺省的Web站点上安装证书
下面的过程假设您已经获得了一张有效的第三方安全套接字层证书,该证书使用公用名称,您的用户将使用该名称连接到您的Exchange邮件系统。选项一描述如何使用一张已经存在的证书,该证书是您从现有的运行以前Exchange版本的Exchange服务器上导出的。选项二描述如何使用一张新的第三方证书。
选项1:使用一张已经存在的安全套接字层(SSL)证书
下面的过程描述如何使用一张已经存在的SSL证书,该证书是您已经为以前版本的Exchange部署的。在您现有的以前版本的Exchange服务器上,使用IIS工具以PFX格式导出存在的证书,执行下面的步骤:
1. 在IIS管理工具中,右键点击缺省Web站点,选择属性,然后点击Directory Security栏。
2. 点击Server Certificate。
3. 在Web Server Certificate Wizard上,选择Export the current certificate to a .pfx file选项,点击Next。
4. 为该文件取名,并保存该文件到一个的位置以便以后使用,点击Next。
5. 输入密码,然后点击Next。
6. 点击Next,然后点击Finish。
7. 导入证书到个人,执行下面的步骤:
a) 打开证书的MMC,展开最上一级的Certificates (Local Computer)。
b) 右键点击Personal,选择All Tasks,然后点击Import。
c) 在Certificate Import Wizard中,点击Browse,然后浏览到您拷贝到客户端访问服务器的.pfx文件,点击Next。
d) 输入到该.pfx文件的密码,然后选中“Mark this Key as Exportable”选项。
e) 选择Place all certificates in the following store然后选择Personal Certificate Store,然后点击Next。
f) 点击Finish。
8. 要判断导入证书的指纹属性,想实现该任务,打开Exchange Management Shell,运行下面的命令:
Get-ExchangeCertificate | fl
9. 找到您刚才导入的证书,拷贝证书的指纹,并输入下面的命令:
Enable-ExchangeCertificate –Thumbprint
选项2:使用一张新的单一名称证书
在您的客户端访问服务器上使用使用Exchange Management Shell来安装和激活您的新的第三方证书。
· 在客户端访问服务器上,打开Exchange Management Shell并运行下面的命令:
Import-ExchangeCertificate –Path
步骤2:修改服务连接点
在缺省情况下,在Exchange 2007安装期间,活动目录中的SCP对象中保存的自动发现服务的URL将参考客户端访问服务器的内部FQDN,您可以使用Set-ClientAccessServer cmdlet来修改该URL以便它指向Autodiscover服务的新的位置(FQDN)。
重要信息:
您必须在您的Exchange邮件系统中,为每一个客户端访问服务器重复该操作。
使用Exchange Management Shell 来更改Autodiscover 服务的内部URL。
· 在Exchange Management Shell中,运行下面的命令:
Set-ClientAccessServer –identify
步骤3:配置Exchange服务URLs
现在您已经为您的Autodiscover服务部署场景配置了SSL,您必须为外部和内部访问配置您的Exchange服务。具体的信息,我们在后面描述。
步骤4:(可选)为Outlook Anywhere用户部署Autodiscover SRV记录
因为该使用单一名称证书,那些运行Outlook 2007,没有加入域的客户端将收到安全告警,当它们连接到Autodiscover服务。如果您的外部DNS提供商支持Autodiscover SRV记录,您可以使用一个Outlook 2007更新来纠正该。当应用该软件更新,Outlook 2007客户端将执行DNS SRV记录的额外检查,来找到Autodiscover服务,它并不需要多个Web站点和IP地址或者一个新的统一通讯SSL证书。尽管这仍然需要您在DNS中为Autodiscover服务增加一个DNS记录,您将不在必须使用支持多个DNS名称的证书或者必须管理第二个Web站点。