我们都知道默认情况下Exchange 2013服务器的移动设备连接服务器使用的是SSL基本身份验证。
需求描述:
今天有人提出,需要将Exchange 2013的手机连接认证方式使用证书来验证。如果手机客户端没有用户证书则不运行登陆邮箱。
优势:
配置使用证书验证的优点在于,手机客户端和服务器之间使用用户证书进行验证,当更改或重置用户密码时,不影响手机端用户的邮件服务,不会提示在更改密码后重新输入密码。
注意事项:
1、手机客户端使用的用户证书的Subject Name必须为该用户的User Principal Name (UPN)。
2、手机客户端必须信任Exchange服务器的证书的根颁发机构的根证书。
配置过程:(具体可以参考:https://blogs.technet.microsoft.com/exchange/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync/。)
下面介绍配置过程。
1、在Exchange 2013 CAS服务器上安装“IIS客户端证书映射身份验证”,如图。
2、启用IIS服务器的ClientCertficateMappingAuth。如图。
3、启用Microsoft-Server-ActiveSync虚拟目录的ClientCertficateMappingAuth。
4、配置Microsoft-Server-ActiveSync认证方式为“需要提供客户端证书”。
5、重启IIS,使用命令IISreset。最好重启一下服务IIS Admin Service。
6、接下来就是,配置手机。(在这之前需要搭建证书服务器、颁发用户证书模板等工作)
在手机上打开内部CA服务器地址,选择“申请证书”
选择“用户证书”
使用默认的用户证书模板,直接选择提交。(也可以自定义用户证书模板)
选择“安装证书”
输入安装该证书的一个方便记忆的名称。
手机客户端用户证书申请完成后,接下来,就开始配置手机客户端。配置方法和平时配置手机Exchange邮箱一致,在此不过多描述。需要注意的是,需要选择客户端证书(即为上面安装的用户证书),并选择“允许”。
配置设置如图。选择“完成”后开始配置邮箱。
邮箱配置成功。
在服务器上的日志中查看手机的连接方式为SSL/PCT,表明使用的链接方式为证书验证。
本文转自 jialt 51CTO博客,原文链接:http://blog.51cto.com/jialt/1772289
