show code js

2010年9月20日 星期一

Exchange Server 2007 part2

  (十二)建立SSL用新憑證,及啟動Outlook無所不在(預設憑證僅限於IIS、POP及IMAP,其中IIS為必裝元件項目),建立後用於(IIS、POP、IMAP及SMTP)
    1、安裝憑證服務
     (1)將WS2003光碟放入並開啟「控制台」的「新增或移除程式」,然後再點選「新增/移除windows元件」
     (2)鉤選「Certificate Services」(請先或同時安裝IIS服務否則無所以web方式取得憑證)項目,會跳出警告訊息,點選「是」後進行安裝
     (3)由於是AD中第一台CA所以選擇「企業根CA」
     (4)設定簡易名稱CN及設定有效年限,其中分辨名稱尾碼,可於第二、三行追加內部網域或其他網域
     (5)設定儲存路徑,請使用預設路徑
     (6)接著進行憑證資料庫設定,若已安裝有IIS將會警告訊息
     (7)安裝完後請重新開機,服務路徑為 https://localhost/certsrv/
    2、建立新的憑證
     (1)安裝元件,點選「開始」的「控制台」執行「新增或移除程式」,點選「新增/移除windows元件」鉤選「Networks Services」並點「詳細內容」中將「RPC over HTTP」項目鉤選後進行安裝
     (2)開啟exchange的shell介面,進入命令提示下,並輸入「New-ExchangeCertificate -GenerateRequest -DomainName outlook無所不在要用的外部網域名稱,其他外部網域名稱,內部網域名稱,內部主機名稱,netbios主機名稱 -FriendlyName 好記的名稱 -PrivateKeyExportable:$true -Path c:自訂檔名.txt」
        舉例: New-ExchangeCertificate -GenerateRequest -DomainName abc.com,www.abc.com,abc.local,server.abc.local,SERVER -FriendlyName OCA -PrivateKeyExportable:$true -Path c:cert.txt
        檔案會儲存在「Documents and Settings」的「Administrator」(或目前登入者的帳戶)下,檔名為cert.txt
     (3)開啟瀏覽器並進入網址「https://localhost/certsrv/」進入憑證中心
     (4)點選「要求憑證」連結
     (5)點選「進階憑證要求」連結
     (6)點選「用Base-64 編碼的CMC或PKCS #10檔案來提交憑證要求,或用Base-64編碼的PKCS#7檔案提交更新要求」連結
     (7)開啟 剛剛建立的cert.txt(或是自訂檔名.txt),並將內容全部複製下,並貼於「已儲存的要求」的空白處,或使用瀏覽檔案選取txt檔,「憑證範本」請選「網頁伺服器」後,提交
     (8)選擇「DER編碼」,點選「下載憑證」,將憑證「certnew.cer」下載至「Documents and Settings」的「Administrator」(或目前登入者的帳戶)下
     (9)請在shell命令提示下,輸入「Import-ExchangeCertificate -Path c:certnew.cer」,將憑證匯入至Exchange
     (10)請將終端畫面中的「Thumbprint」標籤下方的指紋碼複製(點右鍵選標記,框選後按enter)下來
     (11)請在shell命令提示下,輸入「Enable-ExchangeCertificate –Thumbprint 複製下來的指紋碼 -services "IIS,SMTP,POP,IMAP"」,啟用Exchange中剛匯入的憑證
     (12)開啟Exchange管理主控台,點選「伺服器組態」的「用戶端存取」,在上面有「主機名」右鍵點選「內容] 的「啟動outlook無所不在」,在「名稱」中輸入剛剛第一個外部網域名稱,驗證選單選擇「基本驗證」,完成後,即啟用Outlook無所不在
     (13)開啟「IIS管理介面」並進行以下設定
        A、開啟「EWS內容」的「目錄安全設定」,點選驗證及存取控制的「編輯」,取消「啟用暱名存取」並將驗證的存取中的「基本驗證(使用純文字傳送密碼)」鉤選,在提示訊息中按「是」,點選「安全通訊」的「編輯」,請鉤選「必須使用安全通道(SSL)」及「需要128位元加密」
        B、開啟「PRC及PRCWITHCERT內容」的「目錄安全設定」,點選驗證及存取控制的「編輯」,取消「啟用暱名存取」並將驗證的存取中的「基本驗證(使用純文字傳送密碼)」鉤選,在提示訊息中按「是」,點選「安全通訊」的「編輯」,請鉤選「必須使用安全通道(SSL)」及「需要128位元加密」
        C、若正確的話,開啟瀏覽器並進入網址 https://domain/rpc 或 https://domain/rpcwithcert 會要求輸入帳戶及密碼(帳戶請輸入「網域\帳戶名稱」),連續登入三次將會被拒絕,以瀏覽器進入網址 https://domain/rpc/Rpcproxy.dll 或 https://domain/rpcwithcert/Rpcproxy.dll 將會是一片空白
    3、接在所有客戶端安裝憑證
     (1)至CA憑證中心下載並安裝憑證
       A、進入https://server_name/certsrv/後,點選「下載CA憑證、憑證鏈結或CRL」
       B、點選CA憑證「目前[憑證名]」並選擇編碼方法「DER」,點選「下載CA憑證鏈結」,並將檔案儲存至磁碟
       C、以滑鼠右鍵點取檔案「安裝憑證」
       D、憑證存放區,請點選「將所有憑證放入以下的存放區」,並選擇「信任的根憑證授權」
       E、完成憑證安裝
     (2)進入欲存取的網站安裝憑證
       A、以https進入欲存取的網站,並出現警告訊息後,點選「檢視憑證」
       B、點選「安裝憑證」
       C、憑證存放區,請點選「將所有憑證放入以下的存放區」,並選擇「信任的根憑證授權」
       D、完成憑證安裝
       E、再次進入後將不再有警告訊息,同時提示連線採用128bit加密通道
    4、在Office Outlook設定Exchange
     (1)將所有客戶端的Windows(XP為sp3,VISTA為sp1)及Office Outlook(2003為SP3,2007為SP1)更新至最新的SP
     (2)客戶端的Office Outlook使用Exchange Server並作以下設定
     (3)Exchange Server請填寫內部主機的網域名稱(如server1.net.local),並填寫帳戶 NETBIOS\帳戶 或 local.dns\帳戶
     (4)點選「其他設定」中的「安全性」標籤,使用鉤選使用「加密」及選擇「交換驗證」
     (5)點選「連線」標籤,在Outlook無所不在,鉤選「使用HTTP連線至Microsoft Exchange」
     (6)點選「Exchange Proxy設定」,在url中設定憑證第一個外部網域名稱,在「Proxy驗證」選「基本驗證」
     (7)啟動Office Outlook將會要求輸入帳號密碼,輸入後即可使用Outlook無所不在
       A、第一次近端網路登入帳戶格式應為 NETBIOS\帳戶
       B、第一次遠端網路登入帳戶格式應為 local.dns\帳戶,後可用 NETBIOS\帳戶 登入
     (8)若顯示為英文時,請關閉Outlook後,在cmd下執行 C:\Program Files\Microsoft Office\Office11\Outlook.exe /ResetFolderNames 登入信箱即可

沒有留言:

張貼留言