Exchange2003 OWA加密设置

ghosty

      使用Exchange的用户都知道，在Exchange客户端中有一个B/S结构的客户端OWA，全称为Outlook Web Access，是微软集成在Exchange服务器中的!那么平时我们在通过OWA进行收发邮件的时候，是通过普通的http协议进行的。这种协议虽然很符合我们平时的使用习惯，但是从安全方面来讲，数据在传输过程中都是以明文的形势传输的，安全性非常低。那么怎么样来解决这个问题呢，这就是本篇文章所要说的OWA加密。 　　试验环境：AD(Windows2003)
　　域名：caohj.com
　　企业根CA(Windows2003)
　　Exchange2003(Windows2003)
　　Client (WindowsXP SP2)
　　在做这个实验的最开始，我们需要准备一台企业根CA(关于CA的信参考网络上其他文章)，用来给Exchange2003服务器颁发证书.在此CA与AD集成，如图，我们首先安装CA。
　　在安装CA之前一定要记得先安装IIS哦!^_^
　　安装IIS
　　

　　安装CA
　　

　　
　　

　　注意：此处输入的公用名称。如果您试验的目的只是为了做简单的OWA加密，此处理论上可以任意输入，如果您要继续做后面本人关于OWA其他的试验，那么此处最好输入你的域名.
　　

      使用Exchange的用户都知道，在Exchange客户端中有一个B/S结构的客户端OWA，全称为Outlook Web Access，是微软集成在Exchange服务器中的!那么平时我们在通过OWA进行收发邮件的时候，是通过普通的http协议进行的。这种协议虽然很符合我们平时的使用习惯，但是从安全方面来讲，数据在传输过程中都是以明文的形势传输的，安全性非常低。那么怎么样来解决这个问题呢，这就是本篇文章所要说的OWA加密。

　　试验环境：AD(Windows2003)
　　域名：caohj.com
　　企业根CA(Windows2003)
　　Exchange2003(Windows2003)
　　Client (WindowsXP SP2)
　　在做这个实验的最开始，我们需要准备一台企业根CA(关于CA的信参考网络上其他文章)，用来给Exchange2003服务器颁发证书.在此CA与AD集成，如图，我们首先安装CA。
　　在安装CA之前一定要记得先安装IIS哦!^_^
　　安装IIS
　　

　　安装CA
　　

　　
　　

　　注意：此处输入的公用名称。如果您试验的目的只是为了做简单的OWA加密，此处理论上可以任意输入，如果您要继续做后面本人关于OWA其他的试验，那么此处最好输入你的域名.
　　

　　在这里输入一个名称，主要用来对该IIS站点证书进行标识，就好像身份证上的姓名一样，别人一看就知道这个身份证是谁的，然后下一步：
　　

　　这里可以参考图中的输入，下一步：
　　

　　在这里输入一个公用名称，所谓公用名称就是指用户通过浏览器进行访问你的OWA服务器时在地址栏中所输入的名称，可以为域名，也可以为计算机名，默认为Exchange服务器的计算机名，下一步：
　　

　　在此除了国家之外其他的可根据情况随意输入，但是不能为空，下一步：

ghosty

　　在这里设置SSL使用的端口号，如果做了更改，那么后面的也需要更改，建议按照默认进行，下一步：
　　

　　在此选择证书颁发机构(也就是CA)，因为我们所使用的是域环境，所以在该域中的CA会自动显示出来，我们选择最开始我们安装的CA 的FQDN，下一步：
　　

　　在这里会对前面的信息做最后的确认，如果没有错误，直接点下一步完成证书申请过程。
　　

　　在这里可以看到“查看证书”选项已经变为可用状态，点击“查看证书”进行查看：
　　

　　可以看到证书没有任何问题，如果试验在这一步证书图标上出现黄色叹号或者红色差号则说明证书不可用，最常见的原因就上OWA服务器和CA之间的信任关系建立的有问题，需要安装一下该CA 的证书链，安装方法可在OWA服务器上通过浏览器访问 http://CA服务器IP/certsrv 这个路径，然后下载并安装证书链。
　　注意：1.由于我们在试验过程中使用的是企业根CA，所以证书的颁发为自动的，如果在CA安装过程中使用的独立根CA或者独立从属CA，则需要手工在CA上面进行证书的颁发工作。
　　2.在给OWA申请证书的过程中，我们选择的是第二项“立即将证书请求发送到联机证书颁发机构”，也就是所在我们申请完成的时候证书申请请求已经发送给了CA.如果我们在这个过程中选择“现在准备证书请求，但稍后发送”这一项，那么我们在这过程中填写的内容都会写在一个文件中，需要在填写完申请之后手工提交给CA。
　　通过上面的步骤，我们已经完成了证书的申请，下面来做最后的配置(在OWA服务器上操作)：
　　打开OWA服务器的默认网站，然后选中“Exchange”虚拟目录，右键属性中，做如下设置：

　　首先切换到“目录安全性”选项卡，点击“身份验证和访问控制”中的“编辑”按钮：
　　

　　去掉上面的“启用匿名访问”，“默认域”以及“领域”这里分别点选择，然后选择自己的域名，最后将“集成Windows身份验证去掉”，勾上“基本身份验证”，然后点确定。
　　然后在“安全通信”这里点“编辑”按钮，并做如图设置：
　　

　　然后确定对修改进行保存。
　　然后以同样的方法依次再对“Exchweb”，“Exadmin”，“Public”这三个虚拟目录做相同的设置。
　　到此为止OWA加密配置完毕，下面来看看客户端如何进行访问。
　　在客户端进行访问之前，有几个可选步骤，如果不做这几步，并不影响客户端的访问，但是在访问过程中会有一些提示信息。
　　1.在DNS上面对owa服务器做FQDN解析，解析的主机名为在做证书申请时使用的名称，在本试验中使用的是owa.caohj.com
　　2.在客户端配置DNS服务器IP地址，该DNS最好是域控所使用的DNS
　　3.将客户端加入域，用域账户登陆.
       下面看客户端如何访问，打开浏览器，在地址栏中输入https://owa.caohj.com/exchange 这个地址进行访问：
　　

　　会有如上图所示的提示框，点确定即可：
　　

　　此时要求输入用户名和密码，在这里用户名注意使用完整的邮箱地址：
　　

　　点击确定：
　　

　　可以进行正常访问，到此OWA加密试验完成。