實驗描述
預設情況下,MAPI的方式是安全加密的
示範:實作POP3S的方式收發郵件
示範:實驗https的方式實作郵件的收發
證書
1.CA(證書頒發機構)和證書有什麼差別?
CA:shi 伺服器中的一個服務,主要是用來為計算機(使用者)來頒發證書,安裝CA的伺服器稱為證書伺服器
證書:從CA上擷取的一個檔案(工具)
2.證書有什麼作用?
1)安全加密----HTTPS://
示範:http:\www.icbc.com-----工商銀行
http:\mail.baidu.com------百度郵箱
2)身份驗證----U盾(線上支援,或者轉賬時需要U盾),U盾裡面放了一張證書。
3.如何獲驗證書?
1)從公網的證書提供商處購買證書
www.verisign.com---全球證書做得最好的 www.ssl.com wwww.wosign.com----國外的證書廠商
www.icbc.com ---工商 www.ccb.com----建行 www.ebank---上海浦發銀行 mail.baidu.com---百度郵箱,這裡的證書是用的verisign的證書
2)在内部的伺服器上面安裝證書服務,然後通過CA來頒發證書
CA的名稱 vbers Enterprise Root CA
4.在公網上面購買的證書和公司内部部署CA頒發的證書有何差別?
1)相同點:從安全性加密的角度來看,完全一樣。
2)差別:
A:公網上購買的證書,預設情況下所有的用戶端都信任頒發證書的CA;而自己部署的CA預設情況下使用者不信任。
www.earthhome.com-----不受信任的網站
www.12306.cn------鐵道部網站
B:很多的加密時要到CA上去校驗證書的有效性,如果CA沒辦法正常工作,校驗就會以失敗結束,這樣的就無法實作加密。
實驗過程
實驗示範一:基于OWA的用戶端的安全通路
第一步:在DC上面安裝AD的證書服務,安裝WEB服務
在“運作”中輸入“servermanager.msc”
第二 步:在這裡把注冊證書的web機構勾選上
選擇“企業”,因為是為企業頒發的證書
在此填寫CA的公用名稱“這個地方我填寫有點問題?”理論上填寫“contoso Enterprise Root CA”,關系不大
在Exchange 2010上輸入運作裡面輸入“inetmgr”,然後回車
檢視本地受信任的證書頒發機構
在用戶端通過web來申請證書------在位址欄輸入“http:\vbers\certsrv”
在下面“點選下載下傳CA憑證或證書鍊或者CRL即可”
下面選擇下載下傳CA憑證鍊
下面點選儲存,這裡我儲存在桌面上
如下圖所示,這就是剛下載下傳好的證書鍊,下面可以右鍵開始導入這個證書鍊了,直接導入到被受信任的頒發機構就可以了
這這裡Exchange Sever 2010安裝好後就在自動的在本地生成一張證書,這張證書是自簽名證書,它預設不信任是以的用戶端
下面在Exchange Server 2010上面來建立“域證書”---------這裡建立證書的方法是錯誤的,它隻能為單個的使用者申請證書,并且隻支援單域名的郵箱通路,僅支援通過OWA來通路
下面填寫可辨識的證書的資訊---------完成後會生成一張證書
呵呵,發現怎麼這個地方是灰色的呢? 恩,對了,這是因為沒有信任DC上面的vbers Enterprise Root CA這張證書
下面在本地檢視發現沒有這張證書,是以才會顯示是灰色的原因
下面我在Exchange Server 2010上面強制重新整理一下組政策
現在就有這個受信任的頒發機構了
現在發現就沒有問題了,下面給這個建立的證書去一個好的名字------提供外網做身份登入及驗證
現在發現在本地多了一張證書
下面開始綁定https這個通路端口
把mail.contoso.com這張證書給替換掉
下面開始在用戶端強制重新整理組政策
下面在用戶端通過輸入Internet的通路的位址:http:\mail.contoso.com\owa
現在發現沒有包錯誤的提示,發現在位址欄處多了一把鎖
檢視證書的路徑
|示範二:通過MAPI來實作安全加密的通路
使用多域名的通路方式,這就是正确的示範過程
下面在用戶端删掉“Marry”的郵箱記錄
建立一個檔案的辨別符,名字可以随便取
直接的點選下一步的時候,發現Aclice的帳号被自動的勾選上了,這是非常的智能化,簡化了辦公
呵呵,看到了沒有,這裡提示報錯,說明了什麼???
說明:使用web的形式申請的證書不夠本地使用者的使用,是以單域名的證書是不行的,是以這裡要使用多域名的證書才行
下面在伺服器配置裡面選擇“建立Exchange 證書”
為證書去一個好記的名字
下面隻需要勾選上面的兩項即可,在後面展開後會發現自動的有兩項被勾選上了
下面把“mail.contoso.com”設定為公共名稱-----------------提供公網的通路的域名
下面把建立好的證書導出到桌面上,并且取一個好記的名字
下面發現多了好多的證書,其中一個是現在申請的,這個是在最前面,有一個是錯誤的申請,排在第二位
下面要做的任務是打開剛才導出的檔案,然後copy裡面是以的内容
現在開始通路通過web來申請基于bash 64編碼的證書
下面點選“申請證書”
下面點選“進階證書申請”
這裡選擇bash64編碼的證書申請
下面在證書模闆裡面選擇“web伺服器”,然後點選送出
我在做這個實驗是用IE通路發現産生了沖突,怎麼弄也無法的把證書下載下傳下面,下面可以通過Firefox遊覽器來通路,并把證書下載下傳下來,如下所示:
在此處填寫受信任的證書頒發機構
點選“是”
點選“完成擱置請求”
點選遊覽剛才想CA機構申請的證書
點選“為證書配置設定服務”
把前面四個勾選上
把本地的“自簽名”證書删掉
現在發現通過OWA通路時是加密的
檢視證書的的路徑
下面通過MAPI的方式來登入
現在發現此處直接的通過了
通過MAPI的安全登入成功
下面測試通過POP3登入郵箱
此處要選擇手動配置
配置完成後,然後點選“測試賬戶設定”
下面到Exchange 2010上面把POP3服務開啟
下面啟用“匿名使用者”來登入
當你選擇匿名登入的時候,這裡就不需要填寫登入的帳号及密碼了
下面在進階選項裡面勾選上“此伺服器要求加密連接配接”,然後發送伺服器的端口修改為587,然後密碼連接配接類型為自動
POP3的郵箱登入測試成功
到此為止有關OWA、MAPI及POP3的用戶端安全通路示範結束
本文轉自 vbers 51CTO部落格,原文連結:http://blog.51cto.com/vbers/2051969,如需轉載請自行聯系原作者