场景2的总结
在该场景中,您安装了一个单一名称的证书,其证书的公用名称参考主机名称,用户将使用它从Internet连接到Exchange,例如,mail.contoso.com。该解决方法要求您修改SCP和Exchange服务的内部URLs,因为证书的FQDN不同于SCP中参考的FQDN和Exchange服务的内部URLs。
如果下面的条件都满足的话,该解决方法是最有效的。
·没有加入域的客户端将不会使用OutlookAnywhere连接到Exchange,因为您不必使用多个Web站点和IP地址。
·证书不包含Autodiscover的DNS名称。
然而,通过应用支持AutodiscoverSRV记录的Outlook2007软件更新,您仍然能够为远程Outlook2007用户,成功地部署OutlookAnywhere和Autodiscover。如果您的外部DNS提供商支持SRV记录,没有加入域的客户端将首先尝试通过SCP对象来查找Autodiscover。因为客户端无法联系到活动目录,接着它将切换并尝试使用DNS通过这些URLs来查找Autodiscover,https://contoso.com然后是https://autodiscover.contoso.com。接着它将切换到http重定向算法,并且也会失败。最后,它将尝试另外一种方法,在DNS中检查AutodiscoverSRV记录,然后进行连接。
场景3:如何使用两个单一名称的证书
这部分描述如何使用两个单一名称证书,其一张证书的公用名称参考用户将使用它从Internet连接到Exchange的主机名称。第二张证书的公用名称参考Autodiscover主机名称,例如:autodiscover.contoso.com。存在的证书一般从旧的Exchange服务器上导出或者最近购买的。不管在哪种情况下,您也必须为AutodiscoverWeb站点获得第二张证书。
步骤1:为您的网卡增加第二个IP地址
该过程的第一步涉及到在您的客户端访问服务器上,为您的网卡增加第二个IP地址。
1.在Exchange2007客户端访问服务器上,打开网卡的属性,
2.选择InternetProtocol然后点击Properties。
3.点击Advanced。
4.在IPaddresses下面,点击Add然后输入一个有效的IP地址。如图3所示。
步骤2:创建必须的DNS记录
在大多数情况,您在外部DNS中已经拥有一个主机记录,您的用户将使用该主机名来连接到您的Exchange邮件系统,例如,mail.contoso.com。您也必须为Autodiscover服务增加另外一个主机记录以便Outlook2007客户端能够找到并连接到Autodiscover服务,当他们从Internet上使用Outlookanywhere。该主机记录应该映射到第二个公共IP地址,其指向您的客户端访问服务器的另一个接入点。下面的过程描述了在内部DNS中如何创建必须的主机记录。
1.打开DNS管理工具,展开ForwardLookupZones容器。
2.右键点击您的DNS区域,例如,contoso.com,然后点击NewHost(A)。
3.输入"autodiscover"和您已经指派给您的网卡的第二个IP地址。
4.为被缺省网站使用的主机名称创建一个额外的主机记录,例如,mail.contoso.com,并将已经被指派给缺省网站的本地IP地址指派给它。
注意:如果您的内部DNS名称空间和外部的不同,您必须创建一个额外的DNS区域来匹配外部的名称空间,然后在这个区域创建主机记录。
步骤3:在缺省网站上安装证书
首先,我们假设您已经获得了一张有效的第三方SSL证书,该证书使用这样的公用名称,您的用户使用该名称连接到您的Exchange邮件基础架构。第一个选项描述,如何使用一张从存在的运行以前Exchange版本Exchange服务器上导出的已有的证书。第二个选项描述如何使用一张新的第三方证书。
选项1:使用一张已经存在的SSL证书
在以前版本的Exchange服务器上使用IIS管理器,以PFX的格式导出已存在的证书,可以通过执行下面的步骤来实现:
1.在IIS管理工具中,右键点击缺省Web站点,选择属性,然后点击DirectorySecurity栏。
2.点击ServerCertificate。
3.在WebServerCertificateWizard上,选择Exportthecurrentcertificatetoa.pfxfile选项,点击Next。
4.为该文件取名,并保存该文件到一个的位置以便以后使用,点击Next。
5.输入密码,然后点击Next。
6.点击Next,然后点击Finish。
7.导入证书到个人存储,执行下面的步骤:
a)打开证书的MMC,展开最上一级的Certificates(LocalComputer)。
b)右键点击Personal,选择AllTasks,然后点击Import。
c)在CertificateImportWizard中,点击Browse,然后浏览到您拷贝到客户端访问服务器的.pfx文件,点击Next。
d)输入应用到该.pfx文件的密码,然后选中“MarkthisKeyasExportable”选项。
e)选择Placeallcertificatesinthefollowingstore然后选择PersonalCertificateStore,然后点击Next。
f)点击Finish。
8.要判断导入证书的指纹属性,想实现该任务,打开ExchangeManagementShell,运行下面的命令:
Get-ExchangeCertificate|fl
9.找到您刚才导入的证书,拷贝证书的指纹,并输入下面的命令:
Enable-ExchangeCertificate–Thumbprint<thumbprint_of_new_certificate>-Servicesiis
选项2:使用一张新的单一名称证书
在您的客户端访问服务器上使用使用ExchangeManagementShell来安装和激活您的新的第三方证书。
·在客户端访问服务器上,打开ExchangeManagementShell并运行下面的命令:
Import-ExchangeCertificate–Path<fullpathtoCERfile>|Enable-ExchangeCertificate-Servicesiis
步骤4:配置缺省的网站
下面描述通过IIS管理器来配置缺省网站
1.打开IIS管理器,展开WebSites,右键点击DefaultWebSite,然后选择Properties。
2.在缺省情况下,IP地址将被指派到全部未分配,选择您的主IP地址,并指派给DefaultWebSite。
3.点击Advanced,点击Edit,然后更改端口443的IP分配为主IP地址。如图4所示。
