如何为Internet访问配置自动发现服务
我们将具体介绍下面的四种场景:
场景1:使用一张支持多个DNS名称的证书
场景2:使用一个单一名称的证书
场景3:使用两张单一名称证书
场景4:重定向自动发现服务
*必须解析到用户用来连接到Exchange服务的主机名称,例如mail.contoso.com。
**必须解析到自动发现的FQDN,例如autodiscover.contoso.com。
场景1:使用一张支持多个DNS名称的证书
下面将描述使用统一通讯证书或者通过Windows证书服务内部创建的证书,如何来配置自动发现服务。使用支持主题备用名称的统一通讯证书是推荐的方法。
下面的过程描述了如何创建证书请求,来提交给第三方的CA和何时通过Windows的证书服务来使用您自己的内部的公钥基础结构。
步骤1:创建证书请求
为第三方证书授权机构创建证书请求
·创建证书请求来提交给您的第三方证书授权机构。在客户端访问服务器上,打开ExchangeManagementShell然后输入下面的命令:
New-ExchangeCertificate–GenerateRequest-DomainNamemail.contoso.com,autodiscover.contoso.com-FriendlyNamecontosoinc-KeySize1024-PrivateKeyExportable:$True–SubjectName"c=USo=contosoinc,CN=server01.contoso.com"-Pathc:\certrequest.txt
重要信息:如果您的内部DNS名称和外部的名称不同,您想添加更多的DNS名称到DomainName参数中,例如,您可以输入类似下面的命令:
New-ExchangeCertificate–GenerateRequest-DomainNamemail.contoso.com,autodiscover.contoso.com,server01.contoso.local,server01-FriendlyNamecontosoinc-KeySize1024-PrivateKeyExportable:$True–SubjectName"c=USo=contosoinc,CN=server01.contoso.com"-Pathc:\certrequest.txt
注意:您也许被问题到要包含额外的参数或者也许不知道如何填写主题名称,请和证书授权颁发结构确认需要的参数和必须的信息。
重要信息:如果您打算在其他的客户端访问服务器和ISA服务器上使用该证书,确认包含了PrivateKeyExportable参数,并将它的值设置为$True。
在请求证书之后,下面我们将描述第二步“安装证书”。
步骤1a(可选)安装Windows证书服务并请求证书
您可以使用Windows证书服务来创建和管理您自己的安全套接字层证书。
下面我们将描述如何安装Windows证书服务并请求一张安全套接字层证书。
通过Windows证书服务来创建一个内部证书请求
1.如果您还没有做这些的话,在您的邮件基础组织当中的一台运行WindowsServer2003的服务器上,安装Windows证书服务。
2.在运行WindowsServer2003的服务器上,打开添加/删除程序组件并安装证书服务。
注意:在安装证书服务的期间,您将被提示选择要安装哪种类型的CA,选择安装EnterpriseCA,并完成向导。
3.为了创建证书请求,在客户端访问服务器上,打开ExchangeManagementShell然后输入下面的命令:
New-ExchangeCertificate–GenerateRequest–DomainNamemail.contoso.com,autodiscover.contoso.com–PrivateKeyExportable:$True–Pathc:\certreq.txt
重要信息:DomainName后的第一个DNS名称将自动变成证书的公用名称,确定您输入的FQDN,用户是使用它来连接到这样的服务,包括OWA,,ExchangeActiveSync,和OutlookAnywhere。
注意:如果您的内部DNS名称和外部的名称不同,您想添加更多的DNS名称到DomainName参数中,例如,您可以输入类似下面的命令:
New-ExchangeCertificate–GenerateRequest–DomainNamemail.contoso.com,autodiscover.contoso.com,machinename,machinename.contoso.local–PrivateKeyExportable:$True–Pathc:\certreq.txt
4.在客户端访问服务器上,打开InternetExplorer,输入URL连接到,您安装证书服务所在的服务器上的证书服务管理页面,例如,http://CAS01/certsrv或者https://CAS01/certsrv。
5.点击Requestacertificate,点击Advancedcertificate请求,然后选择Submitacertificaterequestbyusingabase-64-encodedCMCorPKCS#10file.
6.将步骤3中的保存的certreq.txt文件的内容拷贝到SavedRequest区域。
7.选择WebServerunderCertificate模板。
8.点击Submit。
9.点击Downloadcertificate然后保存CER文件到C盘,如c:\certnew.cer。
第二步:安装证书
下面我们将描述如何导入并激活第三方证书或者您通过Windows证书服务内部创建的证书,每个方法的步骤都一样。
注意:Import-ExchangeCertificatecmdlet在服务器上的个人证书存储中安装证书,而Enable-ExchangeCertificatecmdlet将证书安装到Web站点上。
通过ExchangeManagementShell来安装和激活安全套接字层证书。
·要安装和激活安全套接字层证书,在客户端访问服务器上,打开ExchangeManagementShell,然后运行下面的命令:
Import-ExchangeCertificate–Path<fullpathtocertfile>|Enable-ExchangeCertificate-Servicesiis
第三步:(可选)为最终用户管理和使用根证书
加入域的客户端一般通过组策略将自动获得根证书。然而,也有当这不能够正常工作的时候。如果加入域的客户端不能自动安装根证书,您可以手动配置一个组来分发证书,该证书将被域中的所有成员计算机所信任。
下面的过程只适用于如果您已经通过Windows证书服务创建了您自己的证书。如果该证书是通过Windows证书服务内部创建的,您必须提供该根证书给那些从Internet连接到您的邮件基础结构的Windows移动设备用户和您的Outlook2007。执行下面的步骤来获得该根证书。
重要信息:
在移动设备上安装根证书要求您使用您的Windows操作系统连接该设备。如果您运行WindowsXP,您必须安装最新的版本的桌面ActiveSync应用程序。如果您运行WindowsVista,您可以使用控制面板中的集成的Windows移动设备中心,但是您首先必须下载Windows移动设备中心应用程序。
从证书服务获得根证书
1.在加入域的计算机上打开InternetExplorer页面,然后输入URL连接到证书服务管理Web页面。
2.选择DownloadaCAcertificate,certificatechainorCRL选项,然后选择DownloadaCAcertificate选项.
3.保存.cer文件到桌面,并将该.cer文件命名为root.cer。
4.通过电子邮件、FTP站点或者其他方法将该CER文件分发给您的远程用户。
安装安全套接字层证书到您的Outlook2007客户端
1.拷贝该证书到桌面。
2.双击该根证书。
3.在证书对话框中,点击General栏上的theInstallCertificate按钮。
4.在CertificateImportWizard上,点击Next。
5.选择Placeallcertificatesinthefollowingstore然后点击Browse。
6.在SelectCertificateStore窗口上,选择TrustedRootCertificationAuthorities然后点击OK。
7.点击Next然后点击Finish。
原文地址:http://blog.ixpub.net/13762133/viewspace-239461