在Windows移动设备上安装证书
1.在本地计算机上右键点击根证书.cer文件,然后点击拷贝。
2.打开Windows浏览器窗口,然后浏览到MyComputer。
3.双击移动设备按钮来查看您的设备上的文件夹。
4.右键点击您想拷贝根证书的文件,然后点击粘贴。
5.当该根证书拷贝到移动设备上,关闭Windows浏览器窗口。
6.在您的设备上,打开FileExplorer,然后浏览到您拷贝该根证书的文件夹。
7.选择该根证书。
8.当被提示安装该证书的时候,点击Yes。
重要信息:
您将不会收到安装已经成功的消息。
第四步:在DNS中创建必须的主机记录
在大多数情况,您在外部DNS中已经拥有一个主机记录,您的用户将使用该主机名来连接到您的Exchange邮件系统,例如,mail.contoso.com,通过OutlookWebAccess,ExchangeActiveSync或者OutlookAnywhere。为了让Autodiscover服务工作正常,您必须增加一个额外的主机记录以便Outlook2007客户端能够找到并连接到自动发现服务,当他们从Internet使用Outlookanywhere特性的时候。为了完成它,您创建的主机记录应该映射到该公共IP地址,该IP被用作您的客户端访问服务器的入口点。
第五步:配置Exchange服务URL
现在您已经为了您的自动发现服务部署场景配置了安全套接字层,为了外部访问,您必须配置您的Exchange服务。
场景1的总结
在您配置Exchange使用支持多个DNS名称的安全套接字层证书,和根据需要修改Exchange服务URL之后,加入域的客户端将参考Exchange服务的内部URL,这些URL被自动设置当客户端访问服务器角色被安装的时候,那些没有加入域的客户端,将使用您作为该过程一部分输入的外部URL来连接。如果您的证书包含了所有必须的DNS名称,加入域的和没有加入域的客户端都能够成功地连接到自动发现服务,而不会收到安全告警因为名称不匹配。加入域的客户端将通过参考SCP对象来找到自动发现。相反的,没有加入域的客户端查找SCP对象会失败,切换到使用DNS。
场景2如何使用单一名称的证书
下面我们将描述如何使用单一名称证书,其证书的公用名称参考主机名称,用户将使用它从Internet连接到Exchange,例如,mail.contoso.com。
第一步:在缺省的Web站点上安装证书
下面的过程假设您已经获得了一张有效的第三方安全套接字层证书,该证书使用公用名称,您的用户将使用该名称连接到您的Exchange邮件系统。选项一描述如何使用一张已经存在的证书,该证书是您从现有的运行以前Exchange版本的Exchange服务器上导出的。选项二描述如何使用一张新的第三方证书。
选项1:使用一张已经存在的安全套接字层(SSL)证书
下面的过程描述如何使用一张已经存在的SSL证书,该证书是您已经为以前版本的Exchange部署的。在您现有的以前版本的Exchange服务器上,使用IIS管理工具以PFX格式导出存在的证书,执行下面的步骤:
1.在IIS管理工具中,右键点击缺省Web站点,选择属性,然后点击DirectorySecurity栏。
2.点击ServerCertificate。
3.在WebServerCertificateWizard上,选择Exportthecurrentcertificatetoa.pfxfile选项,点击Next。
4.为该文件取名,并保存该文件到一个的位置以便以后使用,点击Next。
5.输入密码,然后点击Next。
6.点击Next,然后点击Finish。
7.导入证书到个人存储,执行下面的步骤:
a)打开证书的MMC,展开最上一级的Certificates(LocalComputer)。
b)右键点击Personal,选择AllTasks,然后点击Import。
c)在CertificateImportWizard中,点击Browse,然后浏览到您拷贝到客户端访问服务器的.pfx文件,点击Next。
d)输入应用到该.pfx文件的密码,然后选中“MarkthisKeyasExportable”选项。
e)选择Placeallcertificatesinthefollowingstore然后选择PersonalCertificateStore,然后点击Next。
f)点击Finish。
8.要判断导入证书的指纹属性,想实现该任务,打开ExchangeManagementShell,运行下面的命令:
Get-ExchangeCertificate|fl
9.找到您刚才导入的证书,拷贝证书的指纹,并输入下面的命令:
Enable-ExchangeCertificate–Thumbprint<thumbprint_of_new_certificate>-Servicesiis
选项2:使用一张新的单一名称证书
在您的客户端访问服务器上使用使用ExchangeManagementShell来安装和激活您的新的第三方证书。
·在客户端访问服务器上,打开ExchangeManagementShell并运行下面的命令:
Import-ExchangeCertificate–Path<fullpathtoCERfile>|Enable-ExchangeCertificate-Servicesiis
步骤2:修改服务连接点
在缺省情况下,在Exchange2007安装期间,活动目录中的SCP对象中保存的自动发现服务的URL将参考客户端访问服务器的内部FQDN,您可以使用Set-ClientAccessServercmdlet来修改该URL以便它指向Autodiscover服务的新的位置(FQDN)。
重要信息:
您必须在您的Exchange邮件系统中,为每一个客户端访问服务器重复该操作。
使用ExchangeManagementShell来更改Autodiscover服务的内部URL。
·在ExchangeManagementShell中,运行下面的命令:
Set-ClientAccessServer–identify<servername>–AutodiscoverServiceInternalUrihttps://autodiscover.contoso.com/autodiscover/autodiscover.xml
步骤3:配置Exchange服务URLs
现在您已经为您的Autodiscover服务部署场景配置了SSL,您必须为外部和内部访问配置您的Exchange服务。具体的信息,我们在后面描述。
步骤4:(可选)为OutlookAnywhere用户部署AutodiscoverSRV记录
因为该解决方法使用单一名称证书,那些运行Outlook2007,没有加入域的客户端将收到安全告警,当它们连接到Autodiscover服务。如果您的外部DNS提供商支持AutodiscoverSRV记录,您可以使用一个Outlook2007软件更新来纠正该问题。当应用该软件更新,Outlook2007客户端将执行DNSSRV记录的额外检查,来找到Autodiscover服务,它并不需要多个Web站点和IP地址或者一个新的统一通讯SSL证书。尽管这仍然需要您在DNS中为Autodiscover服务增加一个DNS记录,您将不在必须使用支持多个DNS名称的证书或者必须管理第二个Web站点。
