步驟 1: 獲取 SSL 證書有三個選項可用于獲取 SSL 證書:- 選項 1: 使用 Exchange 2007 在默認情況下安裝的自行簽署式 SSL 證書。Outlook Anywhere 或脫

步驟 1: 獲取 SSL 證書

有三個選項可用于獲取 SSL 證書:

- 選項 1: 使用 Exchange 2007 在默認情況下安裝的自行簽署式 SSL 證書。Outlook Anywhere 或脫機通訊簿不支持該方式。Exchange ActiveSync 將要求設備安裝相應的受信任的根證書。

- 選項 2: 從已知的證書頒發(fā)機構(gòu)購買 SSL 證書

- 選項 3: 從 Windows PKI 證書頒發(fā)機構(gòu)獲取 SSL 證書

- 如果選擇選項 1，請?zhí)^步驟 2 和步驟 3，直接轉(zhuǎn)到步驟 4。

- 如果選擇選項 2 或選項 3，請繼續(xù)執(zhí)行步驟 2。

- 注意: 對于這三個選項，Exchange ActiveSync 都要求設備安裝相應的受信任的根證書。 步驟 2: 生成并提交證書請求

為安全套接字層(SSL)服務新建證書請求。

- 打開 Exchange 命令行管理程序。

- 使用適當?shù)闹堤鎿Q domainname 和 friendlyname ，運行以下命令: New-ExchangeCertificate -GenerateRequest -domainname mail.contoso.msft,autodiscover.contoso.msft,myserver,myserver.internal.contoso.msft

-FriendlyName mail.contoso.msft -privatekeyexportable:$true -path c:?rt_myserver.txt

- 注意: “DomainName ”用于將一個或多個域名(FQDN)或服務器名填充到最終生成的證書請求中。

- 注意: “FriendlyName ”用于為最終生成的證書指定一個友好名稱。友好名稱必須少于 64 個字符。

- 將請求提交到證書頒發(fā)機構(gòu)，使 CA 生成證書。

步驟 3: 在默認網(wǎng)站上啟用證書

在擁有了新生成的證書之后，必須將其導入并在默認網(wǎng)站上啟用該證書。

- 從運行步驟 2 的計算機上導入證書。若要導入證書，請執(zhí)行以下操作:

- 打開 Exchange 命令行管理程序。

- 運行以下命令(其中，“c:newcert.cer”是您的證書的位置和名稱): Import-ExchangeCertificate -path c:newcert.cer

- 執(zhí)行以下操作，將證書的指紋(證書數(shù)據(jù)的摘要) 復制到剪貼板:

- 打開 Exchange 命令行管理程序。

- 運行以下命令: dir cert:LocalMachineMy | fl

- 通過查找與步驟 2 中的 FriendlyName 相匹配的證書，找到剛才導入的證書，然后將“指紋”屬性復制到 Windows 剪貼板。

- 執(zhí)行以下操作，在默認網(wǎng)站上啟用證書:

- 打開 Exchange 命令行管理程序。

- 運行以下命令: enable-ExchangeCertificate -thumbprint [value you got from above] -services "IIS,IMAP,POP"

- 使用“enable-ExchangeCertificate ”cmdlet 將更新證書映射，因此會替換默認情況下隨 Exchange 2007 一起安裝并在 IIS 、IMAP4 和 POP3 配置中配置的自行簽署式證書。 步驟 4: 要求客戶端訪問服務器虛擬目錄使用 SSL

默認情況下，IIS 默認網(wǎng)站配置為對脫機通訊簿之外的所有虛擬目錄都要求 SSL 。因為可能會配置其他虛擬目錄，所以，對于計劃使用的每個客戶端訪問功能，都必須確保該虛擬目錄使用 SSL 。對于下面列出的每個虛擬目錄，在 Internet 信息服務管理器中重復下面所述的步驟以請求 SSL

對于下面列出的每個虛擬目錄，在 Internet 信息服務管理器中重復下面所述的步驟以請求 SSL 。

- Outlook Web Access 2007 虛擬目錄為“owa ”

- Outlook Web Access 2003 虛擬目錄和 WebDA V 虛擬目錄分別為“exchange ”和“public ” - Exchange ActiveSync 虛擬目錄為“Microsoft-Server-ActiveSync ”

- Outlook Anywhere 虛擬目錄為“Rpc ”

- Autodiscover 虛擬目錄為“Autodiscover ”

- Exchange Web 服務虛擬目錄為“EWS ”

- 統(tǒng)一消息虛擬目錄為“Unified Messaging”

- 脫機通訊簿虛擬目錄為“OAB ”

- 對于以上每個要使用的虛擬目錄，打開 Internet 信息服務(IIS)管理器并執(zhí)行以下步驟。 - 在“默認網(wǎng)站”下選擇所需的虛擬目錄，例如“owa ”。

- 右鍵單擊該虛擬目錄并選擇“屬性”。

-

選擇“目錄安全”選項卡。

- 在“安全通信”部分下，選擇“編輯... ”按鈕。

- 在“安全通信”對話框中，確保選中了“要求安全通道(SSL)”復選框和“要求 128 位加密”復選框。

- 單擊“確定”按鈕保存更改。

- 可以重新啟動 POP3 服務和 IMAP4 服務，方法是打開 Windows 組件服務管理工具，選中“Microsoft Exchange POP3”或“Microsoft Exchange IMAP4”，用右鍵單擊，然后選擇“重新啟動”。IIS 不需要重新啟動。

有關在客戶端訪問服務器上配置 SSL 的其他信息

閱讀以下主題以了解有關客戶端訪問服務器上的 SSL 的詳細信息。

- 管理客戶端訪問安全