Exchange 2003 RPC&SMTP,POP加密傳輸,客戶端簽名 案例
http://windows.chinaitlab.com/Exchange/741301_6.html
思路:
1系統server 2003+sp2, exchange 2003+sp2
2 exchange設置前後端(單臺就設置爲後端;多臺exchange,把對外的設置爲前端,其它都設置爲後端)
3 IIS證書申請
4 客戶端需要兩個證書(AD證書,IIS的證書)
5防火牆只有設置443就OK
二exchange2003的 smtp ,POP3加密傳輸
1 SMTP pop申請證書
三exchange,客戶端加密,簽名
1 申請用戶證書,用戶簽名用的是自己的私鑰,加密用的是對方的公鑰
爲了能夠使遠程用戶採用OUTLOOK的MAPI方式直接連接到EXCHANGE上進行辦公辦公而利用MS在WINDOWS 2003以及EXCHANGE 2003中提供的新功能RPC OVER HTTP。
使用過EXCHANGE服務器的人都會知道,採用OUTLOOK客戶端連接到Exchange服務器(MAPI方式),會有很多除郵件以外的功能,比如說日曆,公共文件夾等,現在由於多數公司的結構都是總部和分支機構爲不在同一個LAN內,這就導致了遠程用戶不能訪問郵件服務器服務器,您也許會說,我可以把 EXCHANGE的POP3以及HTTP方式啓用,遠程用戶用戶就可以使用這兩種方式進行信箱的登錄了,但是,儘管如此,這基本上只能具有郵件郵件的功能,您又會說,我用HTTP的的OWA方式訪問EXCHANGE服務器,基本上和本地本地LAN內的OUTLOOK有相同的功能,那我可以負責任的告訴你,你看到的僅僅是表象表象,OWA方式訪問EXCHANGE,和使用OUTLOOK直接(MAPI)連接服務器仍然有很大的差別,這也就是爲什麼MS會提供RPC OVER HTTP方案的最根本原因。
目前,爲了能夠使遠程用戶採用OUTLOOK的MAPI方式直接連接到EXCHANGE上進行辦公辦公,現在的解決方案只有兩個,第1個就是採用***的方式,這裏不再介紹。
第二種就是MS在WINDOWS 2003以及EXCHANGE2003中提供的新功能RPC OVER HTTP。
我在寫這個文章的時候,對於MS提供的RPC OVER HTTP部署實施的文檔,已經研究了N次次,然而也沒有一次成功過的,現在再回頭看一下,還是覺得MS目前目前提供的RPC-HTTP參考文檔並不完善,裏面很多地方都漏掉了,這就導致了很多人按照MS的指導操作仍然無法順利完成。
下面我就詳細介紹我的實驗以及實際生產環境。
我以實驗環境爲例子來介紹如何操作的(都是採用MS的virtual server 2005來建立的,這個軟件非常棒,有興趣的人可以用這個軟件來建立自己的實驗環境)。
我的實驗環境是DC 1臺,Exchange 3臺,其中2臺做了羣集,做郵件系統的後端,另外1臺EXCHANGE 做前端。
我們先介紹一下這個實驗環境的網絡參數
DC(Windows server 2003 enterprise edition)
Ip addr:172.16.0.1 FQDN:dc.test.com
包含以下服務:域控制器, dns server, wins server;
EXCH1(Windows server 2003 enterprise edition)
Ip addr:172.16.0.2 FQDN:exch1.test.com
包含以下服務:Exchange Server 2003 enterprise Edition,羣集節點1,exchange羣集名稱mailsrv,exchange羣集IP地址:172.16.0.4;
EXCH2(Windows server 2003 enterprise edition)
Ip addr:172.16.0.3 FQDN:exch2.test.com
包含以下服務:Exchange Server 2003 enterprise Edition,羣集節點2,exchange羣集名稱mailsrv,exchange羣集IP地址:172.16.0.4;
EXCH3(Windows server 2003 enterprise edition)
Ip addr:172.16.0.5 FQDN:exch3.test.com
包含以下服務:Exchange Server 2003 enterprise Edition,羣集節點2,exchange羣集名稱EXCH2003;
以上服務器中,DC這個服務器擔任的角色有DC和GC(全局編錄),EXCH1和EXCH2兩臺服務器做羣集成mailsrv.test.com爲exchange的後端,EXCH3爲這個exchange組織的前端。
服務器都準備好了,那麼我們如果要實現整個RPC OVER HTTP,需要的其它條件如下:
服務器端:
Windows Server 2003 + Exchange Server 2003
推薦安裝Exchange SP1,GC需要運行於Windows Server 2003之上。
客戶機端:
Windows XP SP1 (需要補丁包 Q331320) + Outlook 2003 SP1或者
Windows XP SP2 + Outlook 2003 SP1或者
Windows 2003 SP1+ Outlook 2003 SP1(其實客戶機如果是Windows2003,不安裝SP1也可以,推薦安裝)
下面我們看一下,對於Exchange服務器,需要做哪些配置。
一、證書服務
首先,我們需要在整個域中創建一個證書服務器,這裏我們選擇了Windws 2003中的證書頒發機構工具安裝自己的證書頒發機構。
要在Windows 2003域中安裝證書服務器,可以通過下面的步驟進行安裝
控制面板=>添加/刪除程序=>添加/刪除Windows組件 =>證書服務
詳細見附件.............