步驟 1: 獲取 SSL 證書有三個(gè)選項(xiàng)可用于獲取 SSL 證書:- 選項(xiàng) 1: 使用 Exchange 2007 在默認(rèn)情況下安裝的自行簽署式 SSL 證書。Outlook Anywhere 或脫

步驟 1: 獲取 SSL 證書

有三個(gè)選項(xiàng)可用于獲取 SSL 證書:

- 選項(xiàng) 1: 使用 Exchange 2007 在默認(rèn)情況下安裝的自行簽署式 SSL 證書。Outlook Anywhere 或脫機(jī)通訊簿不支持該方式。Exchange ActiveSync 將要求設(shè)備安裝相應(yīng)的受信任的根證書。

- 選項(xiàng) 2: 從已知的證書頒發(fā)機(jī)構(gòu)購買 SSL 證書

- 選項(xiàng) 3: 從 Windows PKI 證書頒發(fā)機(jī)構(gòu)獲取 SSL 證書

- 如果選擇選項(xiàng) 1，請?zhí)^步驟 2 和步驟 3，直接轉(zhuǎn)到步驟 4。

- 如果選擇選項(xiàng) 2 或選項(xiàng) 3，請繼續(xù)執(zhí)行步驟 2。

- 注意: 對(duì)于這三個(gè)選項(xiàng)，Exchange ActiveSync 都要求設(shè)備安裝相應(yīng)的受信任的根證書。 步驟 2: 生成并提交證書請求

為安全套接字層(SSL)服務(wù)新建證書請求。

- 打開 Exchange 命令行管理程序。

- 使用適當(dāng)?shù)闹堤鎿Q domainname 和 friendlyname ，運(yùn)行以下命令: New-ExchangeCertificate -GenerateRequest -domainname mail.contoso.msft,autodiscover.contoso.msft,myserver,myserver.internal.contoso.msft

-FriendlyName mail.contoso.msft -privatekeyexportable:$true -path c:?rt_myserver.txt

- 注意: “DomainName ”用于將一個(gè)或多個(gè)域名(FQDN)或服務(wù)器名填充到最終生成的證書請求中。

- 注意: “FriendlyName ”用于為最終生成的證書指定一個(gè)友好名稱。友好名稱必須少于 64 個(gè)字符。

- 將請求提交到證書頒發(fā)機(jī)構(gòu)，使 CA 生成證書。

步驟 3: 在默認(rèn)網(wǎng)站上啟用證書

在擁有了新生成的證書之后，必須將其導(dǎo)入并在默認(rèn)網(wǎng)站上啟用該證書。

- 從運(yùn)行步驟 2 的計(jì)算機(jī)上導(dǎo)入證書。若要導(dǎo)入證書，請執(zhí)行以下操作:

- 打開 Exchange 命令行管理程序。

- 運(yùn)行以下命令(其中，“c:newcert.cer”是您的證書的位置和名稱): Import-ExchangeCertificate -path c:newcert.cer

- 執(zhí)行以下操作，將證書的指紋(證書數(shù)據(jù)的摘要) 復(fù)制到剪貼板:

- 打開 Exchange 命令行管理程序。

- 運(yùn)行以下命令: dir cert:LocalMachineMy | fl

- 通過查找與步驟 2 中的 FriendlyName 相匹配的證書，找到剛才導(dǎo)入的證書，然后將“指紋”屬性復(fù)制到 Windows 剪貼板。

- 執(zhí)行以下操作，在默認(rèn)網(wǎng)站上啟用證書:

- 打開 Exchange 命令行管理程序。

- 運(yùn)行以下命令: enable-ExchangeCertificate -thumbprint [value you got from above] -services "IIS,IMAP,POP"

- 使用“enable-ExchangeCertificate ”cmdlet 將更新證書映射，因此會(huì)替換默認(rèn)情況下隨 Exchange 2007 一起安裝并在 IIS 、IMAP4 和 POP3 配置中配置的自行簽署式證書。 步驟 4: 要求客戶端訪問服務(wù)器虛擬目錄使用 SSL

默認(rèn)情況下，IIS 默認(rèn)網(wǎng)站配置為對(duì)脫機(jī)通訊簿之外的所有虛擬目錄都要求 SSL 。因?yàn)榭赡軙?huì)配置其他虛擬目錄，所以，對(duì)于計(jì)劃使用的每個(gè)客戶端訪問功能，都必須確保該虛擬目錄使用 SSL 。對(duì)于下面列出的每個(gè)虛擬目錄，在 Internet 信息服務(wù)管理器中重復(fù)下面所述的步驟以請求 SSL

對(duì)于下面列出的每個(gè)虛擬目錄，在 Internet 信息服務(wù)管理器中重復(fù)下面所述的步驟以請求 SSL 。

- Outlook Web Access 2007 虛擬目錄為“owa ”

- Outlook Web Access 2003 虛擬目錄和 WebDA V 虛擬目錄分別為“exchange ”和“public ” - Exchange ActiveSync 虛擬目錄為“Microsoft-Server-ActiveSync ”

- Outlook Anywhere 虛擬目錄為“Rpc ”

- Autodiscover 虛擬目錄為“Autodiscover ”

- Exchange Web 服務(wù)虛擬目錄為“EWS ”

- 統(tǒng)一消息虛擬目錄為“Unified Messaging”

- 脫機(jī)通訊簿虛擬目錄為“OAB ”

- 對(duì)于以上每個(gè)要使用的虛擬目錄，打開 Internet 信息服務(wù)(IIS)管理器并執(zhí)行以下步驟。 - 在“默認(rèn)網(wǎng)站”下選擇所需的虛擬目錄，例如“owa ”。

- 右鍵單擊該虛擬目錄并選擇“屬性”。

-

選擇“目錄安全”選項(xiàng)卡。

- 在“安全通信”部分下，選擇“編輯... ”按鈕。

- 在“安全通信”對(duì)話框中，確保選中了“要求安全通道(SSL)”復(fù)選框和“要求 128 位加密”復(fù)選框。

- 單擊“確定”按鈕保存更改。

- 可以重新啟動(dòng) POP3 服務(wù)和 IMAP4 服務(wù)，方法是打開 Windows 組件服務(wù)管理工具，選中“Microsoft Exchange POP3”或“Microsoft Exchange IMAP4”，用右鍵單擊，然后選擇“重新啟動(dòng)”。IIS 不需要重新啟動(dòng)。

有關(guān)在客戶端訪問服務(wù)器上配置 SSL 的其他信息

閱讀以下主題以了解有關(guān)客戶端訪問服務(wù)器上的 SSL 的詳細(xì)信息。

- 管理客戶端訪問安全