逐步指南:使用 Microsoft Exchange Server 2003 SP2 部署 Windows Mobile 裝置

附錄 A:部署 Exchange ActiveSync 憑證型驗證概觀

發佈日期: 2006 年 12 月 22 日

憑證型驗證是一種進階的安全性功能,可用來滿足更嚴苛的安全性需求。若 SSL 基本驗證無法滿足您的安全性需求,而您現有的公開金鑰基礎結構 (PKI) 使用的是 Microsoft Certificate Server,您可能希望使用 Exchange ActiveSync 中的憑證型驗證功能。

本附錄將概述部署 Exchange ActiveSync 憑證型驗證的需求和程序。完整的指示和部署工具可從 Tools for Exchange Server 2003 網站 (英文) 下載取得,網址是 http://go.microsoft.com/fwlink/?linkid=55032

設定防火牆以進行憑證型驗證

ISA Server 2006 具有一項新功能可從行動裝置結束 SSL 連線、驗證用戶端連線,然後使用 Kerberos 限制委派至 Exchange Server 2003 SP2 前端伺服器。這可謂是一大改進,因為現在可以在 ISA 檢查流量,然後傳給 Exchange 2003 前端伺服器進行處理。舊版的 ISA Server 要求一定要建立 SSL 通道,這使得 Exchange 後端伺服器不得不結束 SSL 連線,驗證使用者,然後處理要求。

憑證型驗證的軟體需求

下面是針對 Windows Mobile 5.0 含 MSFP 和 Exchange Server 2003 SP2 啟用用戶端憑證型驗證的需求:

  • Windows Server 2003 (在 Windows Server 2003 網域功能等級執行)

  • 執行 Web 式註冊的 Windows Server 2003 憑證授權單位

  • Exchange Server 2003 SP2 (前端和信箱伺服器)

  • Windows XP SP2

  • Microsoft Desktop ActiveSync® 4.1 版或更新版本。自 ActiveSync 的附加元件下載,網址是 http://go.microsoft.com/fwlink/?linkid=75423 (英文)

  • Windows Mobile 5.0 含 Messaging and Security Feature Pack

下載憑證註冊工具

Exchange ActiveSync 憑證型驗證工具可從 Tools for Exchange Server 2003 網站 (英文) 下載取得,網址是 http://go.microsoft.com/fwlink/?linkid=55032 (英文),當中包含一個具有以下項目的資料夾:

  • EASAuthUploadXMLtoAD.vbs   此為 VBScript 檔案,會將 XML 組態檔上載至 Active Directory。

  • EASCertAuthSampleXML.xml  此為範例 XML 組態檔。

  • Software license terms.rtf   此為 Microsoft 軟體授權合約。

  • Cert_based_Auth.doc.doc   此為工具的使用者說明文件 (此檔案)。

  • RapiConfig.exe   此為桌面組態工具,可在 Windows Mobile 裝置或使用 Exchange ActiveSync 連線的模擬器上執行提供 XML。

  • QryCertReg.xml   此為在 RapiConfig.exe 中當做參數的 XML 檔案,指出行動裝置是否是從 Active Directory 取得組態。

憑證註冊工具的系統需求

下列是正確操作工具必備的作業系統和應用程式。

  • Windows 2000 Server SP4 或更新版本,或 Window Server 2003 SP1 (建議版本)

    Cc182243.important(zh-tw,TechNet.10).gif 重要:

    當您嘗試在非英文版本的 Windows Server 2003 中執行 Exchange ActiveSync 憑證型驗證工具時會發生一些問題。如需相關說明和因應措施,請參閱微軟知識庫文件 927471 <當您在非英文版本的 Windows Server 2003 中使用 Exchange ActiveSync 憑證型驗證 (EASAuthUploadXMLtoAD.vbs) 工具時傳回錯誤>,網址是 http://go.microsoft.com/fwlink/?linkid=3052&kbid=927471

  • Microsoft Exchange Server 2003 Service Pack 2

  • Windows Mobile 5.0 的 Messaging and Security Feature Pack

  • Active Directory

  • Internet Information Services (IIS)

  • Microsoft Desktop ActiveSync 4.1 或更新版本。自 Windows Mobile 下載和程式 (英文) 下載,網址是 http://go.microsoft.com/fwlink/?linkid=37727 (英文)

  • 執行 Web 式註冊功能的 Windows Server 2003 憑證授權單位 (CA)

啟用憑證型驗證的步驟

若要啟用 Windows Mobile 5.0 MSFP 裝置和 Exchange Server 2003 SP2 之間的憑證型驗證,有三大核心區域必須設定。

  1. Exchange Server 2003 SP2 前端伺服器,以接受 Exchange ActiveSync 虛擬目錄的憑證型驗證。

  2. Exchange Server 2003 SP2 前端和後端伺服器之間的 Kerberos 限制委派。

  3. Active Directory 中的憑證註冊 XML。

假如您有防火牆或反向 Proxy,例如 ISA 伺服器,就需要進行額外的設定。

設定 Exchange Server 2003 前端伺服器

Exchange Server 2003 SP2 中的 Exchange ActiveSync 有賴於 IIS 6.0 的內建驗證機制以進行基本和用戶端憑證型驗證。

請遵循這些步驟來啟用 Exchange Server 2003 SP2 前端伺服器上的用戶端憑證型驗證。

  • 使用 SSL 設定安全通訊

    我們建議您使用由眾所周知的憑證授權單位所發行的 SSL 憑證,如此一來就不用在行動裝置上安裝相對應的信任根憑證。

  • 設定 Exchange ActiveSync 虛擬目錄以接受用戶端憑證型驗證

設定 Kerberos 限制委派

您必須在 Exchange Server 2003 SP2 前端和後端伺服器之間設定 Kerberos 限制委派。

新增服務主要名稱

服務主要名稱 (SPN) 是用戶端用以唯一識別某服務之執行個體的名稱。Kerberos 驗證服務可使用 SPN 來驗證某項服務。為了讓 ISA 2006 伺服器與 Exchange Server 前端和後端環境之間,還有 Exchange 前端與後端伺服器之間的 Kerberos 限制委派得以運作,必須要有額外的 SPN 項目。

將伺服器設為受信任可以委派

為了讓 Kerberos 限制委派能夠運作,Active Directory 中的 Computer 物件項目必須設定為 [受信任可以委派]。Exchange 前端伺服器必須能夠將 Kerberos 票證委派給 Exchange 後端伺服器。

假如您的拓樸將包含 Internet Security and Acceleration (ISA) Server 2006,您還必須設定 ISA 2006 伺服器,讓它能夠將 Kerberos 票證委派給 Exchange 前端伺服器。

設定 Windows Mobile 憑證註冊

您必須將 Active Directory 設定成能夠處理由 Windows Mobile 5.0 MSFP 裝置所提出的用戶端憑證註冊要求。相關步驟如下:

  • 以相關的 Windows Mobile 憑證註冊資訊設定 Active Directory

  • 使用 Desktop ActiveSync 註冊新用戶端憑證。

憑證註冊組態概觀

憑證註冊所涵蓋的 IT 設定步驟及應用程式動作如下表所述。

工作或活動

發生的動作

結果

使用憑證註冊工具。

系統管理員從工具下載所提供的範例 XML 建立裝置憑證註冊組態 XML。接著,範例 XML 便使用隨工具下載所提供的 Microsoft Visual Basic® Scripting Edition (VBScript) 檔案上載至 Active Directory。

針對使用者的 IT 環境而自訂的裝置憑證註冊 XML 即可在正確的 Active Directory 位置中取得。如需詳細資訊,請參閱<上載 XML 至 Active Directory>。

將 Desktop ActiveSync 4.1 或更新版本部署至使用者的桌上型電腦。

Desktop ActiveSync 4.1 或更新版本安裝到使用者的公司電腦上。

使用者可連接裝置,從而將之連線至公司網路,並讓它執行下述的憑證註冊步驟。

設定裝置。

裝置透過 Desktop ActiveSync 4.1 或更新版本連線至使用者的公司電腦,以進行註冊。

Desktop ActiveSync 應用程式從 Active Directory 下載組態 XML。

Desktop ActiveSync 經由 USB Remote API (RAPI) 連線,將 XML「推入」Windows 架構的行動裝置。

在建立裝置和桌上型電腦的合作關係之際,提示使用者輸入其公司使用者名稱、密碼和網域。若要將這些憑證新增至裝置中以進行註冊,必須選取 [儲存密碼] 核取方塊。

在嘗試註冊一次後,便會將使用者名稱、密碼和網域資訊從裝置的記憶體中清除。這些項目僅用於單次註冊。

XML 會被處理成登錄設定,以便您用於憑證註冊作業。

嘗試初次同步處理。

裝置嘗試進行初次伺服器同步處理。

同步處理失敗。

此步驟是設計上的考量,因為用戶端嘗試使用基本驗證密碼驗證。但伺服器需要憑證驗證,所以它會傳回 HTTP 403 錯誤至裝置。此錯誤指出進行驗證需要有憑證。

註冊憑證。

裝置使用已儲存的 Exchange ActiveSync 使用者名稱、密碼和網域,並結合憑證註冊組態來初始化憑證註冊。

將與註冊組態中指定的 Windows Certificate Services 網頁伺服器建立連線。

註冊作業是使用執行 Web 式註冊功能的 Windows 2000 Server 或 Windows Server 2003 憑證授權單位 (CA) 來處理。

假如驗證因密碼不正確而失敗,則使用者可重試,但使用者必須在裝置上輸入密碼。若驗證是因使用者或網域輸入有誤而失敗,則必須刪除行動裝置上的 Exchange 伺服器設定,然後再重新建立。

嘗試後續同步處理。

自憑證註冊 API 接收憑證內容。ActiveSync 嘗試向使用傳回的憑證的 Exchange 前端伺服器重新驗證。

憑證型驗證在憑證註冊步驟已進行後繼續運作。

若憑證遭到刪除或已過期,將採用相同的程序來註冊新憑證。

顯示: