Я провел небольшое исследование о том, как решить некоторые проблемы, с которыми наши пользователи испытывают мобильную электронную почту, и похоже, что изменение настроек Exchange, чтобы разрешить аутентификацию на основе сертификатов, поможет. Мне удалось найти множество инструкций о том, как это настроить, но я должен продемонстрировать нашей команде обмена сообщениями, что это предложение с низким уровнем риска. Какие, если таковые имеются, проблемы мы можем ожидать, если разрешим сертификаты клиентов в дополнение к базовой аутентификации?
Для некоторого контекста у нас есть развертывание Exchange 2007, и наши пользователи подключаются через ActiveSync. Мы используем платформу EMM для управления конфигурацией электронной почты и распространением клиентских сертификатов, поэтому мне действительно нужна только помощь в поиске информации о том, какие побочные эффекты могут возникнуть на самом сервере Exchange, если мы внесем это изменение.
Чтобы разобраться в этом, потребовалось довольно много времени и несколько разговоров с нашим представителем Microsoft. Хотя есть возможность включить как аутентификацию на основе сертификатов, так и NTLM, для этого потребуется некоторая емкость пузыря, потому что нам понадобится один кластер CAS для обработки запросов, аутентифицируемых с помощью NTLM, а другой - для обработки запросов с использованием аутентификации на основе сертификатов. Насколько я понимаю, это связано с ограничением IIS, но я не знаю подробностей здесь.
Это применимо как к Exchange 2010, так и к 2007.