none
邮件客户端身份验证问题 RRS feed

  • 问题

  • exchange客户端(手机、pc、mac)身份验证使用内部ca签发个人证书,微软在此方面是否有指引文档和解决方案。

    涉及到activesync、outlookanywhere、webservice使用个人证书+用户名密码验证。

    1、个人证书申请能否简化

    2、使用gpo针对pc、手机能否做到推送个人证书

    3、用户证书自动续订如何实现

    2021年1月20日 2:28

全部回复

  • 您好,

    1. 用于证书验证的证书是基于用户的,您需要给每一个用户颁发证书。您可以使用组织内部的AD CS(Active Directory Certificate Services) 来颁发证书。也可以从第三方CA购买证书,该方法简单一点,但是成本更高。

    2. 手机并不能加入Windows的域,所以GPO并不适用于手机。您需要使用外部存储来拷贝证书到手机上,或者使用Intune的MDM来推送证书到手机设备上(该方法需要购买Intune中的服务,并要求手机先在Intune中进行注册)。

    3. 这取决您证书是来自内部的AD CS还是第三方CA。如果来自内部的AD CS,证书到期后您需要自己手动为用户续订证书,如果是来自第三方CA,您可以联系供应商购买新的证书。

    以下的这两篇文章或许对您有用:

    Configure certificate based authentication in Exchange 2016 

    Configure certificate-based authentication for Exchange ActiveSync

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年1月20日 7:34
    版主
  • 感谢您的耐心回答,我在查阅了您的文档链接后依旧有如下疑问:

    1、文档中介绍的方法貌似是用证书验证取代用户名密码验证,是否在客户端初次配置的时候依旧需要输入用户名密码?我希望达到的效果就是希望初次配置验证(证书

    +用户名密码),文档中介绍的方法是否可以达到此效果?

    2、exchange用户到windows内部ca申请证书的详细步骤是否有?

    3、%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost这个操作,如果我要回退成密码用户名验证,如何回退?是否有办法可以看到使用不同验证方式时此项操作的配置参数?

    2021年1月21日 7:04
  • 感谢您的耐心回答,我在查阅了您的文档链接后依旧有如下疑问:

    1、文档中介绍的方法貌似是用证书验证取代用户名密码验证,是否在客户端初次配置的时候依旧需要输入用户名密码?我希望达到的效果就是希望初次配置验证(证书

    +用户名密码),文档中介绍的方法是否可以达到此效果?

    2、exchange用户到windows内部ca申请证书的详细步骤是否有?

    3、%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost这个操作,如果我要回退成密码用户名验证,如何回退?是否有办法可以看到使用不同验证方式时此项操作的配置参数?

    1. 这一种方法的验证方式是固定的,在第二篇文章中有提到,为了方便阅读,我帮你机翻成中文:

    2. 关于ADCS颁发用户证书,您可以尝试从Windows Server方面获取更加详细的操作。

    3. 这只是通过命令操作的方式。您可以直接再IIS中进行操作。需要还原的时候,把上面的操作还原即可。

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已标记为答案 nelson2004 2021年1月25日 7:25
    • 取消答案标记 nelson2004 2021年1月25日 7:25
    2021年1月22日 8:28
    版主
  • 十分感谢您的耐心回答,我有如下场景,

    1、现在的ex2010组织加入ex2016服务器,随后数据库复制到ex2016,ex2010逐步下线,迁移完成后的ex2016是否可以沿用ex2010的用户证书验证方式?


    2、2016仅需要在cas角色配置上做证书验证配置?我在cas角色服务器上不会加载数据库

    3、用户无需更新证书即可使用?

    2021年1月25日 7:35
  • 十分感谢您的耐心回答,我有如下场景,

    1、现在的ex2010组织加入ex2016服务器,随后数据库复制到ex2016,ex2010逐步下线,迁移完成后的ex2016是否可以沿用ex2010的用户证书验证方式?

    2、2016仅需要在cas角色配置上做证书验证配置?我在cas角色服务器上不会加载数据库

    3、用户无需更新证书即可使用?

    1. 10和16共存的环境,您需要使用Exchange 2016作为客户端连接点,您开始就需要再2016服务器上进行配置。

    2. 2016只有Mailbox服务器(包含了之前的CAS和Mailbox功能)和Edge服务器。

    3. 是新的证书。

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年1月26日 7:49
    版主
  • 您好,

    请问以上建议是否有效?

    如果以上建议有用的话,请在空闲的时候标记它为答案以帮助更多的用户。

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年1月29日 8:35
    版主