如何配置 Outlook Web Access 以使用智能卡

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2008-03-19

本主题介绍如何使用 Exchange 管理控制台或 Exchange 命令行管理程序以及 Internet 信息服务 (IIS) 管理器来配置 Microsoft Office Outlook Web Access，以使用智能卡进行用户身份验证。

智能卡是一种防篡改并且可移植的方式，有助于为客户端身份验证、代码签名和电子邮件保护等任务提供安全解决方案。

智能卡提供下列功能：

• 防篡改的存储，用于保护私钥以及其他形式的个人信息。

• 将身份验证、数字签名和密钥交换中涉及的安全关键性计算与计算机中不需要此数据的其他部分隔离。这些操作全部在智能卡上执行。

• 在办公室、家中或路上，可以在不同计算机之间移植凭据和其他私人信息。

开始之前

智能卡身份验证要求进行安全套接字层 (SSL) 加密。默认情况下，Outlook Web Access 使用 SSL。如果已将 Outlook Web Access 配置为不要求 SSL 并且希望用户可以使用智能卡，必须将 Outlook Web Access 重新配置为要求 SSL。请参阅如何配置 Outlook Web Access 虚拟目录以使用 SSL。

您还必须获取并配置证书颁发机构 (CA) 颁发的证书。有关如何实现和管理智能卡的信息，请参阅下列资源：

• 第一步是获取并配置 CA 颁发的证书。有关如何获取并配置 CA 颁发的证书的信息，请参阅使用智能卡进行安全访问的规划指南。

• 有关使用智能卡的要求的概述，请参阅第 4 章 - 使用智能卡帮助保护远程访问帐户。

• 有关如何使用和管理智能卡的信息的链接，请参阅智能卡的操作。

• 可能必须更新客户端，以使其可以使用智能卡。有关如何实现此目的的详细信息，请参阅基本智能卡加密服务提供程序的软件更新的说明。

智能卡提供一种特殊的证书身份验证。在验证了是否已将客户端访问服务器配置为要求 SSL，并且获取并配置了 CA 颁发的证书之后，必须将客户端访问服务器配置为使用证书身份验证。

若要执行下列步骤，必须为您使用的帐户委派 Exchange Server 管理员角色以及目标服务器的本地 Administrators 组成员身份。

有关管理 Exchange Server 2007 所需的权限、角色委派以及权利的详细信息，请参阅权限注意事项。

步骤

使用 IIS 管理器 6.0 配置 Outlook Web Access 虚拟目录，以使用证书身份验证

1. 在 IIS 管理器中，右键单击“网站”，然后单击“属性”。

2. 在“目录安全”选项卡上，验证选中“启用 Windows 目录服务映射器”复选框。

3. 单击“确定”关闭“网站属性”。

4. 展开驻留 Outlook Web Access 虚拟目录的网站。该网站通常是“默认网站”。右键单击要配置为使用证书身份验证的 Outlook Web Access 虚拟目录，然后单击“属性”。

5. 在“目录安全性”选项卡上的“安全通信”中，单击“编辑”。

6. 在“安全通信”部分，选择“要求安全通道 (SSL)”（如果尚未选择）。

   注意：
   如果使用的是在运行 Microsoft Exchange 安装程序期间创建的 SSL 证书，您将会收到一条错误信息，通知您该证书不是受信任证书。确保您信任颁发该证书的证书颁发机构 (CA) 或所使用的 SSL 证书是受信任 CA 颁发的。

7. 在“客户端证书”部分，选择“要求客户端证书”。

8. 选择“启用客户端证书映射”。

9. 单击“确定”保存更改。

将 IIS 管理器配置为使用证书身份验证之后，必须在 Exchange 中对 Outlook Web Access 虚拟目录禁用所有身份验证方法。可以使用 Exchange 管理控制台或 Exchange 命令行管理程序执行该操作。

使用 Exchange 管理控制台将 Outlook Web Access 配置为不使用身份验证方法

1. 在 Exchange 管理控制台中，单击“服务器配置”，再单击“客户端访问”。

   注意：
   若要使 Outlook Web Access 接受匿名访问，必须禁用所有形式的身份验证。

2. 在 Outlook Web Access 选项卡上，打开要配置为使用匿名访问的虚拟目录的属性。

3. 单击“身份验证”选项卡。

4. 选择“使用一个或多个标准身份验证方法”。

5. 不要选择身份验证方法。如果选择了任意身份验证方法，则单击相应复选框清除此方法。

6. 单击“确定”。

7. 您会收到一条警告，指示您尚未选择身份验证方法，并指导您使用 Exchange 命令行管理程序设置一个身份验证方法。单击“确定”关闭警告。

8. 打开命令提示符窗口并键入命令 iisreset/noforce，以重新启动 IIS。

使用 Exchange 命令行管理程序将 Outlook Web Access 配置为不使用身份验证方法

1. 在必须进行配置的 Outlook Web Access 虚拟目录所在的客户端访问服务器上，打开 Exchange 命令行管理程序。

   注意：
   若要使 Outlook Web Access 接受匿名访问，必须禁用所有形式的身份验证。

2. 若要对 /owa 虚拟目录和名为“Default Web Site”的站点禁用基于表单的身份验证，请运行以下命令：

   Set-owavirtualdirectory -identity "owa (Default Web Site)" -FormsAuthentication:$false
   

3. 若要对 /owa 虚拟目录和名为 Default Web Site 的站点禁用所有形式的标准身份验证，请运行以下命令：

   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
   

4. 禁用上一个主动身份验证方法后，您会收到一条警告，表示没有为虚拟目录指定身份验证方法，并指示您使用 Set-OwaVirtualDirectory cmdlet 指定一种身份验证方法。忽略此警告。

5. 打开命令提示符窗口并键入命令 iisreset/noforce，以重新启动 IIS。

有关语法和参数的详细信息，请参阅 Set-OwaVirtualDirectory。

详细信息

有关 Outlook Web Access 身份验证方法的详细信息，请参阅管理 Outlook Web Access 安全性。