針對行動裝置驗證使用憑證

 

上次修改主題的時間: 2008-02-14

我們曾在上個月討論過使用安全通訊端層 (SSL),來增加 Microsoft Exchange ActiveSync 用戶端和執行 Microsoft Exchange 之電腦間的通訊安全性。這個月我們將討論另一個安全性等級:用戶端驗證。

驗證是用戶端及伺服器用來確認它們身分以傳輸資料的過程。利用 SSL 加密的通訊,會在加密層中包住要在用戶端和伺服器間交換的資料,以協助保護該資料的安全。在 Microsoft Exchange Server 2007 中,驗證是用來判斷想要與 Exchange 伺服器通訊之使用者或用戶端的身分。您可以使用驗證來確認裝置是否屬於特定個人。

您可以在 Exchange ActiveSync 虛擬目錄上設定驗證。此設定將控制您的用戶端裝置是否可使用用戶端憑證來進行驗證。根據預設,當您安裝 Exchange 2007 的 Client Access server role 時,Exchange ActiveSync 虛擬目錄即已設定為搭配使用基本驗證和 SSL。您可以修改 Exchange ActiveSync 虛擬目錄的內容,即可變更驗證方法。本文會提供不同類型之驗證和指示的概觀,以用於設定 Exchange ActiveSync 虛擬目錄的驗證方法。同時也會提供在行動裝置上設定用戶端憑證以供驗證的指示。

驗證類型有三種:基本、憑證型及 Token 型。本節會提供這些驗證類型的基本概念。

基本驗證是最簡單的驗證方法。使用基本驗證,伺服器會要求用戶端提交使用者名稱及密碼。該使用者名稱及密碼是以純文字格式透過網際網路傳送給伺服器。伺服器會確認提供的使用者名稱及密碼有效,然後將存取權授與用戶端。此為 Exchange ActiveSync 的預設驗證方法。我們建議您只有在啟用 SSL 時,才使用此驗證方法。若您計劃停用 Exchange ActiveSync 虛擬目錄上的 SSL,我們建議您選擇其他驗證方法。

憑證型驗證是使用數位憑證來確認身分。除了使用者名稱及密碼之外,憑證型驗證還提供另一種形式的認證,以證明嘗試存取儲存在 Exchange 2007 伺服器上信箱資源的使用者身分。數位憑證是由兩個元件組成:儲存在裝置上的私密金鑰,以及安裝在伺服器上的公開金鑰。

如果將 Exchange 2007 設定為需要 Exchange ActiveSync 的憑證型驗證,則只有符合下列準則的裝置才可以與 Exchange 2007 進行同步處理:

  • 裝置已安裝有效的用戶端憑證,而該憑證是建立來進行使用者驗證。

  • 裝置具有所連線之伺服器的信任根憑證,用以建立 SSL 連線。

當您部署憑證型驗證時,可防止只有使用者名稱及密碼的使用者與 Exchange 2007 進行同步處理。驗證的用戶端憑證是額外的安全性層級,因此只有在裝置是透過 Desktop ActiveSync 4.5 或更新版本 (在 Microsoft Windows XP 中) 或 Windows Mobile 裝置中心 (在 Windows Vista 中) 連線到加入網域的電腦時,才可以安裝。

Token 型驗證系統是由雙重要素驗證系統。雙重要素驗證是根據使用者知道的資訊部分 (例如他們的密碼) 以及外部裝置 (通常是使用者可以隨身攜帶的信用卡或遙控鑰匙形式)。而每個裝置都會有唯一的序號。除了硬體 Token 之外,部分廠商還提供可以在行動裝置上執行的軟體型 Token。

Token 的運作方式是顯示每 60 秒變更一次的唯一號碼 (一般長度是六位數)。將 Token 發給使用者時,Token 就會與伺服器軟體進行同步處理。若要進行驗證,使用者可輸入他們的使用者名稱、密碼以及目前顯示在 Token 上的號碼。而部分 Token 型驗證系統也會需要使用者輸入 PIN 碼。

Token 型驗證是增強式驗證形式。Token 型驗證的缺點是必須在伺服器上安裝驗證軟體,而且必須在每位使用者的電腦或行動裝置上部署驗證軟體。同時會有使用者可能遺失外部裝置的風險。因為必須更換遺失的外部裝置,所以這會造成財務上的損失。然而,如果沒有原始使用者的驗證資訊,外部裝置對第三者來說根本毫無用處。有數家公司提供 Token 型驗證系統。如需這些系統的相關資訊 (包括如何加以設定),請參閱特定系統適用的文件。

若要設定 Exchange ActiveSync 虛擬目錄以進行憑證型驗證,請使用下列其中一個程序。

使用 Exchange 管理主控台設定 Exchange ActiveSync 的憑證型驗證
  1. 展開 [伺服器組態],然後按一下 [用戶端存取]。

  2. 在結果窗格中,按一下 Exchange ActiveSync 索引標籤。

  3. 選取 Microsoft-Server-ActiveSync 虛擬目錄。

  4. 在執行窗格的 Microsoft-Server-ActiveSync 下,按一下 [內容]。

  5. 按一下 [驗證] 索引標籤。

  6. 清除 [基本驗證 (密碼以純文字格式傳送)] 旁的核取方塊。

  7. 按一下 [需要用戶端憑證]。或者,若要允許使用但不一定需要用戶端憑證驗證,您可以按一下 [接受用戶端憑證]。

  8. 按一下 [套用] 儲存變更,或按一下 [確定] 儲存變更並關閉 [Microsoft-Server-ActiveSync 內容] 對話方塊。

使用 Exchange 管理命令介面設定 Exchange ActiveSync 的憑證型驗證
  • 執行下列命令:

    Set-ActiveSyncVirtualDirectory -Identity :"ExchSrvr\Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthEnabled:$false -ClientCertAuth:"Required"
    

如需語法及參數的相關資訊,請參閱 Set-ActiveSyncVirtualDirectory

若要在安裝 Windows Mobile 的裝置上執行下列程序,請確定裝置與桌上型電腦或可攜式電腦之間已有 ActiveSync 連線。此外,桌上型電腦或可攜式電腦必須已加入網域。若為 Windows XP 電腦,您將使用 Desktop ActiveSync 來建立此連線。若為 Windows Vista 電腦,您將使用 Windows Mobile 裝置中心。

為了使用桌上型電腦憑證註冊工具,您的裝置必須連接至已登入公司網路的電腦。下列程序會使用桌上型電腦 ActiveSync 或 Windows Mobile 裝置中心,為來自公司伺服器的憑證進行註冊。

使用 ActiveSync 為來自公司伺服器的憑證進行註冊
  1. 在裝置連接至電腦的情況下,於 ActiveSync 或 Windows Mobile 裝置中心內依序按一下 [工具]、[進階工具] 及 [取得裝置憑證]。

  2. 從 [檢視] 下拉式方塊選取 [Active Directory 中的憑證類型],然後按一下 [註冊]。

  3. 在 [取得裝置憑證] 下,按一下 [是] 繼續。

  4. 您的 Windows Mobile 6.0 裝置將提示您確認安裝程序。按一下裝置上的 [繼續]。

  5. 裝置上可能會出現第二個提示。如果出現,請選取 [安裝]。

  6. 當您看見註冊程序結束的成功對話方塊之後,按一下電腦上的 [確定],然後按一下 [關閉]。

您可以為 Exchange ActiveSync 執行各種不同的安全性功能。憑證型驗證即是其中一種功能。我們建議您將 Exchange ActiveSync 設定為 SSL 基本驗證或憑證型驗證。如需驗證及加密選項的相關資訊,請參閱下列各主題:

 
顯示: