Настройка проверки подлинности на основе сертификата в Exchange 2016

Проверка подлинности на основе сертификатов (CBA) в Exchange позволяет Outlook в Интернете (ранее — Outlook Web App) и Exchange ActiveSync клиентам проходить проверку подлинности с помощью сертификатов клиента, а не вводить имя пользователя и пароль.

Прежде чем настраивать Exchange, нужно выдать сертификат клиента каждому пользователю. Так как подобных сертификатов клиентов нужно огромное количество, для их выдачи и управления ими используйте автоматизированную внутреннюю инфраструктуру открытых ключей (PKI), например службы сертификатов Active Directory. Дополнительные сведения об этих службах см. в статье Обзор служб сертификатов Active Directory. Дополнительные сведения о требованиях к сертификатам:

• Для проверки подлинности клиента должен быть выдан сертификат клиента (например, стандартный шаблон сертификата Пользователь в службах сертификатов Active Directory).

• В поле Subject или Subject Alternative Name сертификата должно быть указано имя участника-пользователя (UPN).

• Сертификат клиента должен быть связан с учетной записью пользователя в Active Directory.

• Все серверы и устройства, связанные с доступом к Outlook в Интернете и ActiveSync (в том числе прокси-серверы и клиентские устройства), должны доверять всей цепочке сертификатов клиента (корневому сертификату центра сертификации и возможным сертификатам промежуточных ЦС, которые использовались).

Для CBA в Outlook в Интернете сертификат клиента должен быть установлен на локальном компьютере, устройстве или на смарт-карте. Для CBA в ActiveSync сертификат клиента должен быть установлен на локальном устройстве. Вы можете автоматизировать установку сертификатов на устройствах с помощью решения для управления мобильными устройствами (MDM), например Intune. Дополнительные сведения о Intune см. в статье Обзор Microsoft Intune.

Что нужно знать перед началом работы

• Предполагаемое время выполнения задачи: 20 минут.

• Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Диспетчер IIS" в разделе Outlook в Интернете разрешений раздела Разрешения клиентов и мобильных устройств.

• Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

• Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.

Шаг 1. Установка компонента проверки подлинности с сопоставлением сертификатов клиентов на всех серверах Exchange Server с помощью командной консоли Exchange

Все серверы Exchange Server, использующие общее пространство имен и одинаковые URL-адреса, должны применять одни и те же методы проверки подлинности. Компонент проверки подлинности с сопоставлением сертификатов клиентов необходимо установить на всех серверах Exchange Server.

В командной консоли Exchange выполните следующую команду:

Install-WindowsFeature Web-Client-Auth

Подробные сведения о синтаксисе и параметрах см. в статье Install-WindowsFeature.

Шаг 2. Включение проверки подлинности на основе сертификата клиента Active Directory для сервера Exchange Server с помощью диспетчера IIS

1. Откройте диспетчер IIS на сервере Exchange Server. Простой способ сделать это в Windows Server 2012 или более поздней версии — нажать клавишу Windows + Q, ввести inetmgr и выбрать Диспетчер служб IIS в результатах.

2. Выберите сервер, затем в нижней части страницы выберите параметр Просмотр возможностей.

3. В разделе IIS дважды щелкните элемент Проверка подлинности.

   

4. На странице Проверка подлинности выберите из списка пункт Проверка подлинности клиента Active Directory с помощью сертификата и щелкните Включить в области Действия.

   

   Появится предупреждение о том, что для сопоставления сертификатов клиентов в Active Directory необходимо включить SSL.

Шаг 3. Использование диспетчера IIS для настройки Outlook в Интернете, Центра администрирования Exchange и виртуальных каталогов ActiveSync для требования сертификатов клиента

Примечание. Необходимо требовать сертификаты клиента, так как принятие сертификатов клиента (для поддержки как CBA, так и обычной проверки подлинности имени пользователя и пароля) не работает согласованно на всех типах устройств ActiveSync.

1. In IIS Manager, expand the server, expand Sites, and then expand Default Web Site.

2. Выберите виртуальный каталог owa, затем в нижней части страницы выберите параметр Просмотр возможностей.

3. В разделе IIS дважды щелкните элемент Параметры SSL.

4. На странице Параметры SSL установите флажок Требовать SSL и выберите значение Требовать в разделе Сертификаты клиентов.

5. В области Действия нажмите кнопку Применить.

   

6. Выберите виртуальный каталог Microsoft-Server-ActiveSync.

7. В разделе IIS дважды щелкните элемент Параметры SSL.

8. На странице Параметры SSL установите флажок Требовать SSL и выберите значение Требовать в разделе Сертификаты клиентов.

9. В области Действия нажмите кнопку Применить.

Примечание. Хотя эти процедуры можно выполнить в командной строке, действия могут не настроить необходимый раздел реестра. Вы можете использовать предыдущие процедуры в диспетчере IIS (который определенно правильно задаст раздел реестра) или убедиться, что для раздела HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443 реестра задано значение 1 после выполнения процедур в командной строке.

Чтобы выполнить эти процедуры в командной строке, откройте командную строку с повышенными привилегиями на сервере Exchange (открываемое окно командной строки, выбрав Запуск от имени администратора) и выполните следующие команды:

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/ecp/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost

Шаг 4. Использование командной консоли Exchange для отключения других методов проверки подлинности в Outlook в Интернете, Центре администрирования Exchange и виртуальных каталогах ActiveSync

После того как для проверки подлинности требуются клиентские сертификаты, необходимо отключить все другие методы проверки подлинности в виртуальных каталогах Outlook в Интернете, Центра администрирования Exchange (EAC) и ActiveSync. По умолчанию включены только обычная проверка подлинности и проверка подлинности на основе форм.

1. В командной консоли Exchange замените< ServerName> именем сервера Exchange и выполните следующую команду, чтобы отключить все другие методы проверки подлинности в виртуальном каталоге Outlook в Интернете:

   Set-OwaVirtualDirectory "<ServerName>\owa (Default Web Site)" -BasicAuthentication $false -WindowsAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -AdfsAuthentication $false -OAuthAuthentication $false
   

   Подробные сведения о синтаксисе и параметрах см. в статье Set-OwaVirtualDirectory.

2. В командной консоли Exchange замените< serverName> именем сервера Exchange и выполните следующую команду, чтобы отключить все другие методы проверки подлинности в виртуальном каталоге EAC:

   Set-EcpVirtualDirectory "<ServerName>\ecp (Default Web Site)" -BasicAuthentication $false -WindowsAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -AdfsAuthentication $false
   

   Подробные сведения о синтаксисе и параметрах см. в разделе Set-EcpVirtualDirectory.

3. Замените <ServerName> именем сервера Exchange Server и выполните следующую команду, чтобы отключить все другие методы проверки подлинности в виртуальном каталоге ActiveSync:

   Set-ActiveSyncVirtualDirectory "<ServerName>\Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthEnabled $false -WindowsAuthEnabled $false
   

   Подробные сведения о синтаксисе и параметрах см. в статье Set-ActiveSyncVirtualDirectory.

Шаг 5. Использование диспетчера IIS для включения сопоставления сертификатов клиента для Outlook в Интернете, Центра администрирования Exchange и виртуальных каталогов ActiveSync

Важно!

После выполнения этого действия выполнение командлета Set-ActiveSyncVirtualDirectory может отключить сопоставление сертификатов клиентов для ActiveSync.

1. In IIS Manager, expand the server, expand Sites, and then expand Default Web Site.

2. Выберите виртуальный каталог owa, затем в нижней части страницы выберите параметр Просмотр возможностей.

3. В разделе Управление дважды щелкните элемент Редактор конфигураций.

4. На странице Редактор конфигурации щелкните раскрывающийся список Раздел и перейдите к system.webServer>security>authentication>clientCertificateMappingAuthentication.

   

5. Установите в строке enabled значение True и выберите команду Применить в области Действия.

   

6. Выберите виртуальный каталог ECP .

7. В разделе Управление дважды щелкните элемент Редактор конфигураций.

8. На странице Редактор конфигурации щелкните раскрывающийся список Раздел и перейдите к system.webServer>security>authentication>clientCertificateMappingAuthentication.

9. Установите в строке enabled значение True и выберите команду Применить в области Действия.

10. Выберите виртуальный каталог Microsoft-Server-ActiveSync.

11. В разделе Управление дважды щелкните элемент Редактор конфигураций.

12. На странице Редактор конфигурации щелкните раскрывающийся список Раздел и перейдите к system.webServer>security>authentication>clientCertificateMappingAuthentication.

13. Установите в строке enabled значение True и выберите команду Применить в области Действия.

Примечание. Чтобы выполнить эти процедуры в командной строке, откройте командную строку с повышенными привилегиями на сервере Exchange Server и выполните следующие команды:

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/ecp/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

Шаг 6 (необязательный). Добавление корневого сертификата стороннего центра сертификации в хранилище Enterprise NTAuth в Active Directory

Выполняйте этот шаг, только если не используете службы сертификатов Active Directory для выдачи сертификатов клиентов. Он необходим для того, чтобы сделать центр сертификации (ЦС) доверенным для выдачи сертификатов клиентов с целью проверки подлинности Active Directory.

1. Экспортируйте корневой сертификат ЦС в CER-файл X.509 с кодировкой Base-64 или двоичной кодировкой DER. В этом примере используется файл C:\Data\CARoot.cer.

2. На любом рядовом сервере домена (например, контроллере домена или сервере Exchange Server) откройте командную строку с повышенными привилегиями и выполните следующую команду:

   %windir%\system32\certutil.exe -enterprise -addstore NTAuth "C:\Data\CARoot.cer"
   

   Обратите внимание на то, что для выполнения этого шага нужно быть членом группы Администраторы предприятия.

Шаг 7 (необязательный). Увеличение значения UploadReadAheadSize для виртуальных каталогов Outlook в Интернете и ActiveSync с помощью диспетчера IIS

Если клиенты получают ошибки, может потребоваться увеличить значения uploadReadAheadSize в метабазе IIS, чтобы разрешить использование заголовков запросов.

1. In IIS Manager, expand the server, expand Sites, and then expand Default Web Site.

2. Выберите виртуальный каталог owa, затем в нижней части страницы выберите параметр Просмотр возможностей.

3. В разделе Управление дважды щелкните элемент Редактор конфигураций.

4. На странице Редактор конфигурации щелкните раскрывающийся список Раздел и перейдите к systemwebServer>serverRuntime.

   

5. Установите значение 49152 в строке uploadReadAheadSize и выберите команду Применить в области Действия.

   

6. Выберите виртуальный каталог ECP .

7. В разделе Управление дважды щелкните элемент Редактор конфигураций.

8. На странице Редактор конфигурации щелкните раскрывающийся список Раздел и перейдите к systemwebServer>serverRuntime.

9. Установите значение 49152 в строке uploadReadAheadSize и выберите команду Применить в области Действия.

10. Выберите виртуальный каталог Microsoft-Server-ActiveSync.

11. В разделе Управление дважды щелкните элемент Редактор конфигураций.

12. На странице Редактор конфигурации щелкните раскрывающийся список Раздел и перейдите к systemwebServer>serverRuntime.

13. Установите значение 49152 в строке uploadReadAheadSize и выберите команду Применить в области Действия.

Примечание. Чтобы выполнить эти процедуры в командной строке, откройте командную строку с повышенными привилегиями на сервере Exchange Server и выполните следующие команды:

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/serverRuntime /uploadReadAheadSize:49152

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/ecp/" -section:system.webserver/serverRuntime /uploadReadAheadSize:49152

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/serverRuntime /uploadReadAheadSize:49152