Exchange 2007 使用证书对移动设备执行身份验证

       可以在 Exchange ActiveSync 虚拟目录上配置身份验证。该设置将控制您的客户端设备是否使用客户端证书进行身份验证。默认情况下，在安装 Exchange 2007 的客户端访问服务器角色时，会将 Exchange ActiveSync 虚拟目录配置为同时使用基本身份验证和 SSL。通过修改 Exchange ActiveSync 虚拟目录的属性，可以更改身份验证方法。本文将简要介绍不同类型的身份验证并提供有关为 Exchange ActiveSync 虚拟目录配置身份验证方法的指导。本文还将提供有关在移动设备上配置用于身份验证的客户端证书的指导。

       一、身份验证类型概述

       身份验证包含以下三种类型：基本身份验证、基于证书的身份验证和基于令牌的身份验证。本部分仅对这些身份验证类型进行简要介绍。

       基本身份验证

       基本身份验证是最简单的身份验证方法。使用基本身份验证时，服务器请求客户端提交用户名和密码。用户名和密码通过 Internet 以明文形式发送到服务器。服务器验证提供的用户名和密码是否有效并向客户端授予访问权限。这是 Exchange ActiveSync 默认的身份验证方法。我们建议在启用 SSL 时仅使用该身份验证方法。如果计划在 Exchange ActiveSync 虚拟目录上禁用 SSL，建议选择备用的身份验证方法。

       基于证书的身份验证

基于证书的身份验证使用数字证书来验证身份。除了用户名和密码之外，基于证书的身份验证还提供另一种形式的凭据，用于证明尝试访问 Exchange 2007 服务器上存储的邮箱资源的用户身份。数字证书由两部分组成：设备上存储的私钥和服务器上安装的公钥。

       如果将 Exchange 2007 配置为要求对 Exchange ActiveSync 进行基于证书的身份验证，则只有满足以下条件的设备可以与 Exchange 2007 进行同步：

       1)该设备安装了为用户身份验证创建的有效客户端证书。

       2)该设备拥有为建立 SSL 连接而要连接到的服务器的受信任根证书。

部署基于证书的身份验证时，将阻止仅有用户名和密码的用户与 Exchange 2007 同步。用于身份验证的客户端证书具有更高的安全级别，仅当设备通过 Microsoft Windows XP 中的 Desktop ActiveSync 4.5 或更高版本或者 Windows Vista 中的 Windows Mobile 设备中心连接到加入域的计算机时，才安装用于身份验证的客户端证书。

       基于令牌的身份验证系统

       基于令牌的身份验证系统是一个双重身份验证系统。双重身份验证是基于用户所知的一条信息（如自己的密码）以及一个用户可以随身携带的外部设备（通常以信用卡或密钥卡的形式）。每个设备都有唯一的序列号。除了硬件令牌之外，某些供应商还提供可以在移动设备上运行的基于软件的令牌。

       令牌的工作方式是显示唯一编号，长度通常为六位，该编号每隔 60 秒更改一次。令牌颁发给用户后，将与服务器软件进行同步。若要进行身份验证，用户需要输入其用户名、密码以及令牌上当前显示的编号。某些基于令牌的身份验证系统还要求用户输入 PIN。

       基于令牌的身份验证是一种加强型身份验证。基于令牌的身份验证的缺点在于：必须在服务器上安装身份验证软件，并在每个用户的计算机或移动设备上部署身份验证软件；还有就是存在用户可能丢失外部设备的风险。由于需要更换丢失的外部设备，所以成本可能会很高。但是，如果没有原用户的身份验证信息，外部设备对第三方没有任何用处。有多家公司可以提供基于令牌的身份验证系统。有关这些身份验证系统的详细信息（包括配置方法），请参阅特定系统的文档。

       二、如何在 Exchange ActiveSync 虚拟目录上配置基于证书的身份验证

       若要为 Exchange ActiveSync 虚拟目录配置基于证书的身份验证，请使用下列一项步骤：使用 Exchange 管理控制台为 Exchange ActiveSync 配置基于证书的身份验证。

       1、展开“服务器配置”，然后单击“客户端访问”。

       2、在结果窗格中，单击 Exchange ActiveSync 选项卡。

       3、选择 Microsoft-Server-ActiveSync 虚拟目录。

       4、在操作窗格中的 Microsoft-Server-ActiveSync 下，单击“属性”。

       5、单击“身份验证”选项卡。清除“基本身份验证(以明文形式发送密码)”旁边的复选框。

       6、单击“要求提供客户端证书”。或者，希望允许但不要求使用客户端证书身份验证，可以单击“接受客户端证书”。

       7、单击“应用”保存更改，或单击“确定”保存更改并关闭“Microsoft-Server-ActiveSync 属性”对话框。

       使用 Exchange 命令行管理程序为 Exchange ActiveSync 配置基于证书的身份验证，运行以下命令：

       Set-ActiveSyncVirtualDirectory -Identity :”ExchSrvr\Microsoft-Server-ActiveSync (Default Web Site)” -BasicAuthEnabled:$false -ClientCertAuth:”Required”

       三、如何在 Windows Mobile 设备上配置基于证书的身份验证

       若要在 Windows Mobile 驱动的设备上执行以下过程，请确保该设备与台式计算机或便携式计算机之间建立了 ActiveSync 连接。此外，台式计算机或便携式计算机必须加入到域中。对于 Windows XP 计算机，请使用 Desktop ActiveSync 建立此连接。对于 Windows Vista 计算机，请使用 Windows Mobile 设备中心。

       若要使用桌面证书注册工具，必须将设备连接到已登录公司网络的计算机。以下过程使用 Desktop ActiveSync 或 Windows Mobile 设备中心从公司服务器注册证书。使用 ActiveSync 从公司服务器注册证书。

       1、在设备已连接到计算机的情况下，在 ActiveSync 或 Windows Mobile 设备中心中，依次单击“工具”、“高级工具”和“获取设备证书”。

       2、在“视图”下拉框中，选择“来自 Active Directory 的证书类型”，然后单击“注册”。

       3、在“获取设备证书”下，单击“是”继续操作。

       4、Windows Mobile 6.0 设备将提示您确认安装过程。在设备中单击“继续”。

       5、设备中可能出现第二条提示。如果出现此提示，请选择“安装”。在注册过程的最后看到注册成功对话框之后，在计算机上单击“确定”，然后单击“关闭”。

发布于：2011年8月17日 浏览：2114 次