我们都知道默认情况下Exchange 2013服务器的移动设备连接服务器使用的是SSL基本身份验证。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第1张图片

 

需求描述:

今天有人提出,需要将Exchange 2013的手机连接认证方式使用证书来验证。如果手机客户端没有用户证书则不运行登陆邮箱。

优势:

     配置使用证书验证的优点在于,手机客户端和服务器之间使用用户证书进行验证,当更改或重置用户密码时,不影响手机端用户的邮件服务,不会提示在更改密码后重新输入密码。

注意事项:

1、手机客户端使用的用户证书的Subject Name必须为该用户的User Principal Name (UPN)。

2、手机客户端必须信任Exchange服务器的证书的根颁发机构的根证书。

配置过程:(具体可以参考:https://blogs.technet.microsoft.com/exchange/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync/。)

下面介绍配置过程。

1、在Exchange  2013 CAS服务器上安装“IIS客户端证书映射身份验证”,如图。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第2张图片

2、启用IIS服务器的ClientCertficateMappingAuth。如图。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第3张图片

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第4张图片

3、启用Microsoft-Server-ActiveSync虚拟目录的ClientCertficateMappingAuth。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第5张图片

4、配置Microsoft-Server-ActiveSync认证方式为“需要提供客户端证书”。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第6张图片

5、重启IIS,使用命令IISreset。最好重启一下服务IIS Admin Service。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第7张图片

 

6、接下来就是,配置手机。(在这之前需要搭建证书服务器、颁发用户证书模板等工作)

在手机上打开内部CA服务器地址,选择“申请证书”

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第8张图片

选择“用户证书”

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第9张图片

使用默认的用户证书模板,直接选择提交。(也可以自定义用户证书模板)

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第10张图片

  选择“安装证书”

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第11张图片

输入安装该证书的一个方便记忆的名称。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第12张图片

手机客户端用户证书申请完成后,接下来,就开始配置手机客户端。配置方法和平时配置手机Exchange邮箱一致,在此不过多描述。需要注意的是,需要选择客户端证书(即为上面安装的用户证书),并选择“允许”。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第13张图片

配置设置如图。选择“完成”后开始配置邮箱。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第14张图片

邮箱配置成功。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第15张图片

 

在服务器上的日志中查看手机的连接方式为SSL/PCT,表明使用的链接方式为证书验证。

配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)_第16张图片