配置Exchange 2013手机登录使用证书验证（Certificate-Based Authentication）

        我们都知道默认情况下Exchange 2013服务器的移动设备连接服务器使用的是SSL基本身份验证。

 

需求描述：

今天有人提出，需要将Exchange 2013的手机连接认证方式使用证书来验证。如果手机客户端没有用户证书则不运行登陆邮箱。

优势：

     配置使用证书验证的优点在于，手机客户端和服务器之间使用用户证书进行验证，当更改或重置用户密码时，不影响手机端用户的邮件服务，不会提示在更改密码后重新输入密码。

注意事项：

1、手机客户端使用的用户证书的Subject Name必须为该用户的User Principal Name (UPN)。

2、手机客户端必须信任Exchange服务器的证书的根颁发机构的根证书。

配置过程：（具体可以参考：https://blogs.technet.microsoft.com/exchange/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync/。）

下面介绍配置过程。

1、在Exchange  2013 CAS服务器上安装“IIS客户端证书映射身份验证”，如图。

2、启用IIS服务器的ClientCertficateMappingAuth。如图。

3、启用Microsoft-Server-ActiveSync虚拟目录的ClientCertficateMappingAuth。

4、配置Microsoft-Server-ActiveSync认证方式为“需要提供客户端证书”。

5、重启IIS，使用命令IISreset。最好重启一下服务IIS Admin Service。

 

6、接下来就是，配置手机。（在这之前需要搭建证书服务器、颁发用户证书模板等工作）

在手机上打开内部CA服务器地址，选择“申请证书”

选择“用户证书”

使用默认的用户证书模板，直接选择提交。（也可以自定义用户证书模板）

  选择“安装证书”

输入安装该证书的一个方便记忆的名称。

手机客户端用户证书申请完成后，接下来，就开始配置手机客户端。配置方法和平时配置手机Exchange邮箱一致，在此不过多描述。需要注意的是，需要选择客户端证书（即为上面安装的用户证书），并选择“允许”。

配置设置如图。选择“完成”后开始配置邮箱。

邮箱配置成功。

 

在服务器上的日志中查看手机的连接方式为SSL/PCT，表明使用的链接方式为证书验证。

转载于:https://blog.51cto.com/jialt/1772289