行動裝置安全性及 Exchange 2007

 

上次修改主題的時間: 2008-01-23

Microsoft Exchange Server 2007 會使用安全通訊端層 (SSL),提高用戶端與 Exchange 伺服器之間的安全性。依預設,Exchange ActiveSync、Office Outlook Web Access 及 Outlook 無所不在會使用 SSL。如果您要啟用 POP3 及 IMAP4,也可以為這些通訊協定設定 SSL。

若要配合 Exchange ActiveSync 使用 SSL,必須在您要使用的 Client Access Server 及行動裝置上擁有 SSL 憑證。在執行 Client Access server role 的 Exchange 2007 電腦上安裝 SSL 憑證的方法十分簡單。但是,在行動裝置上安裝 SSL 憑證就有點困難,並不是所有裝置都支援各種憑證。為了使用 SSL 以加密行動裝置及 Client Access Server 之間的通訊,您可以配合 Exchange ActiveSync 使用憑證型驗證的數位憑證。本文描述的步驟,可讓您使用 SSL 憑證來提高行動裝置及 Exchange 伺服器之間 Exchange ActiveSync 的通訊安全性。本文也會說明用於驗證的 SSL 加密及數位憑證加密之間的差異。

SSL 對憑證型驗證

數位憑證有兩種主要的用途。第一種是對用戶端及伺服器之間的通訊通道加密。第二種是用於驗證。

當數位憑證是用來對用戶端及伺服器之間的通訊通道加密時,來自伺服器憑證的公開金鑰會在傳輸之前用來加密資料。當用戶端收到資料時,用戶端的私密金鑰可用來解密資料。

驗證是用戶端及伺服器用來確認它們身分以傳輸資料的過程。在 Exchange 2007 中,驗證是用來判斷想要與 Exchange 伺服器通訊之使用者或用戶端的身分。您可以使用驗證來確認裝置是否屬於特定個人。依預設,Exchange ActiveSync 會使用基本驗證。但是,您可以透過變更 Exchange ActiveSync 虛擬目錄上的驗證方法,將驗證方法變更為憑證型驗證。如需憑證型驗證的相關資訊,請參閱選擇 ActiveSync 的驗證方法

在 Client Access Server 上安裝 SSL 憑證

在執行 Exchange 2007 的電腦上安裝 Client Access server role 時,預設會在 Exchange 伺服器的預設網際網路資訊服務 (IIS) 網站上建立 Exchange ActiveSync 的虛擬目錄。

Microsoft-Server-ActiveSync 虛擬目錄已自動設定為使用 SSL。建議您不要變更此設定。依預設,自行簽署的 SSL 憑證已安裝在 Client Access Server 上。但是,Exchange ActiveSync 無法使用此自行簽署憑證,對行動裝置及 Exchange 伺服器之間的通訊加密。您必須在可以配合 Exchange ActiveSync 使用 SSL 之前,安裝並設定 Windows 公開金鑰基礎結構 (PKI) 型憑證或信任的協力廠商憑證。

如何將 Exchange ActiveSync 設定為使用 SSL

為了讓 Exchange ActiveSync 使用 SSL,而必須在 Client Access Server 上採取的唯一步驟,是您要在伺服器上安裝 SSL 憑證所必須遵循的步驟。這些步驟將會根據您使用信任的協力廠商憑證或 Windows PKI 憑證而有些許差異。如需如何設定 Windows PKI 憑證,或是如何從信任的協力廠商取得憑證的相關資訊,請參閱了解 Client Access Server 的 SSL

如何將 Exchange ActiveSync 用戶端設定為使用 SSL

為了取得 Windows PKI 憑證或信任的協力廠商憑證,您也必須將 Exchange ActiveSync 用戶端裝置設定為使用 SSL。Exchange ActiveSync 不支援使用自行簽署憑證連線至 Exchange 2007。行動裝置必須能夠透過完整的鏈結來驗證數位憑證。憑證鏈結是由許多憑證所組成,要確認由憑證結尾所識別的主旨時需要這些憑證。這包含憑證結尾、任何中繼憑證授權單位憑證,以及根憑證。鏈結中所有中繼憑證授權單位,都會保留憑證授權單位的上一層授權單位所發出的憑證。自行簽署的憑證無法透過完整的鏈結進行驗證。

在可以配合 Exchange ActiveSync 使用 Windows PKI 憑證之前,您必須擁有允許在裝置的個人憑證存放區中安裝數位憑證的裝置。Windows Mobile 6.0 裝置支援此功能。但是許多其他裝置不支援。若要判定您的裝置是否支援憑證安裝,請參閱裝置的說明文件。

建議您對 Exchange ActiveSync 使用信任的協力廠商憑證。Windows Mobile 裝置已在裝置的信任根憑證存放區中,預先安裝許多最常見之信任的協力廠商憑證。如果行動裝置上未預先安裝信任的協力廠商憑證,您必須判定您的裝置是否支援憑證安裝。

如果您必須在 Windows Mobile 裝置上安裝 SSL 憑證的副本,請使用下列程序。

將憑證儲存至檔案

  1. 在 Client Access Server 的 IIS 管理員中,於 [預設網站] 或 [Microsoft-Server-ActiveSync] 虛擬目錄上按一下滑鼠右鍵,然後按一下 [內容]。

  2. 按一下 [目錄安全設定] 索引標籤。

  3. 在 [安全通訊] 之下,按一下 [檢視憑證]。

  4. 在 [憑證] 對話方塊中,按一下 [詳細資料] 索引標籤。

  5. 按一下 [複製到檔案]。

  6. 在 [憑證匯出精靈] 中,按 [下一步]。

  7. 選取 [否,不要匯出私密金鑰],再按 [下一步]。

  8. 選取 [DER 編碼二進位 X.509 (.CER)],再按 [下一步]。

  9. 輸入檔案名稱,按 [下一步],再按 [完成]。

在將憑證儲存成檔案之後,您就可以將該檔案安裝到裝置上。用來在裝置上安裝憑證的程序視裝置的作業系統而定。請選擇符合您裝置作業系統的程序。

使用 Windows Mobile 裝置中心將憑證安裝在 Windows Mobile 5.0 或 Windows Mobile 6.0 裝置上

  1. 在 Windows Mobile 裝置中心中,按一下 [檔案管理],然後按一下 [瀏覽裝置內容]。

  2. 將在先前程序中建立的 .cer 檔案拖曳至裝置上的資料夾。

  3. 在裝置上,按一下 [開始],然後按一下 [檔案總管]。

  4. 找出您在步驟 2 選取的資料夾。

  5. 開啟該 .cer 檔,在看到提示時按一下 [是]。

許多 Windows Mobile 5.0 裝置會執行安全性原則,以防止直接從 .cer 檔安裝憑證檔。如果前面的程序未完成,請使用下列程序。

使用 SmartPhoneAddCert 工具在 Windows Mobile 5.0 裝置上安裝憑證

  1. 下載 SmartPhoneAddcert.exe (英文) 工具。

    note附註:
    有些行動服務業者會提供此工具的已簽署版本。如果您的裝置可以使用已簽署版本,請從行動服務業者下載已簽署版本。
  2. 執行 SmartPhoneAddCert.exe 並將內容擷取至電腦上的資料夾。

  3. 透過桌上型電腦 ActiveSync 或 Windows Mobile 裝置中心 (英文),將 SmartPhoneAddCert.exe 複製到您的裝置。

  4. 在您的裝置上,建立名為 Storage 的資料夾。

  5. 將 .cer 檔案複製至裝置上的 Storage 資料夾。

  6. 執行 SmartPhoneAddCert.exe。選取已複製到 Storage 資料夾的 .cer 檔以安裝憑證。

note附註:
如果您建立一個包括 .cer 檔的 .cab 檔,則也可以將此 .cab 檔複製至裝置,然後執行 .cab 檔以安裝憑證。

相關資訊

如需如何將行動裝置設定為與 Exchange 2007 進行同步處理的相關資訊,以及如何為 Windows Mobile 裝置設定 SSL 的完整指示,請參閱 Windows Mobile 裝置中心 (英文)。