安装 Sophos Mobile EAS 代理
要求
- 所有必需的电子邮件服务器都可以访问。EAS 代理安装程序将不会配置与不可用服务器的连接。
- 您是准备安装 EAS 代理的计算机上的管理员。
- 您知道 Sophos Mobile 服务器的 URL。请参阅 确定 Sophos Mobile 服务器 URL。
要了解有关将 Sophos Mobile EAS 代理集成到组织的基础架构中的信息,请参阅 EAS 代理架构示例。
- 运行
Sophos Mobile EAS Proxy Setup.exe
,启动 Sophos Mobile EAS Proxy - Setup Wizard (Sophos Mobile EAS 代理 - 安装向导)。 - 在 Choose Install Location 页面上,选择目标文件夹并单击 Install 开始安装。
安装完成后,将自动启动 Sophos Mobile EAS Proxy - Configuration Wizard(Sophos Mobile EAS 代理 - 配置向导),并引导您完成配置步骤。
-
在 Sophos Mobile 服务器配置对话框中,配置以下设置:
-
输入 EAS 代理将要连接的 Sophos Mobile 服务器的 URL。
-
如果需要,请选择 Use proxy server (使用代理服务器) 配置 EAS 代理用于连接 Sophos Mobile 的代理服务器。
-
还应选中 Use SSL for incoming connections (Clients to EAS Proxy) (对传入连接 (客户端到 EAS 代理) 使用 SSL),以保护客户端和 EAS 代理之间的通信。
-
除 EAS 代理凭据外,如果还想让客户端使用证书进行身份验证,则可以选中 Use client certificates for authentication (使用客户端证书进行身份验证)。
这将为连接添加额外一层安全性。
-
-
如果之前选中了 Use SSL for incoming connections (Clients to EAS Proxy) (对传入连接 (客户端到 EAS 代理) 使用 SSL),将显示 Configure server certificate (配置服务器证书) 页面。在此页面上,可以创建或导入用于安全 (HTTPS) 访问 EAS 代理的证书。
- 如果您还没有信任的证书,请选择 Create self-signed certificate (创建自签名证书)。
-
如果已有信任的证书,请单击 Import a certificate from a trusted issuer (导入来自信任的颁发机构的证书),并从列表中选择以下其中一种选项:
- PKCS12 with certificate, private key and certificate chain (intermediate and CA)
- Separate files for certificate, private key, intermediate and CA certificate
-
在下一页面上,根据所选证书的类型,输入相应的证书信息。
对于自签名证书,需要指定可以从客户端设备访问的服务器。
-
如果您之前选中了 Use client certificates for authentication,将显示 SMC client authentication configuration 页面。在此页面上,选择来自证书颁发机构 (CA) 的证书,客户端证书必须从该证书派生出来。
当客户端尝试连接时,EAS 代理将检查客户端证书是否是由此处指定的 CA 派生出来的。
-
在 EAS Proxy instance setup 页面上,配置一个或多个 EAS 代理实例。
- Instance type: 选择 EAS proxy (EAS 代理)。
- Instance name: 用于标识该实例的名称。
- Server port: EAS 代理用于传入电子邮件数据流的端口。如果设置多个代理实例,每个实例必须使用不同的端口。
- Require client certificate authentication: 电子邮件客户端连接到 EAS 代理时,必须自己进行身份验证。
-
ActiveSync server (ActiveSync 服务器):代理实例将连接的 Exchange ActiveSync 服务器实例的名称或 IP 地址。
您在此处输入的值必须与服务器 SSL/TLS 证书的公用名 (CN) 或使用者可选名称 (SAN) 字段一致。
-
SSL: 代理实例和 Exchange ActiveSync 服务器之间的通信受到 SSL 或 TLS 的保护(取决于服务器支持的类型)。
- Enable Traveler client access: 仅在需要允许非 iOS 设备上的 Traveler 客户端访问时选中此复选框。
-
输入实例信息后,单击 Add 将实例添加到 Instances 列表中。
安装程序将为每个代理实例创建一个证书,您需要将该证书上传到 Sophos Mobile。单击 Add 后,将打开一个消息窗口,解释如何上传证书。
-
在消息窗口中,单击 OK。将打开一个对话框,显示创建的证书所在的文件夹。
提示
也可以通过选择相应的实例,并单击 EAS Proxy instance setup 页面上的 Export config and upload to Sophos Mobile server 链接,打开该对话框。
-
记录证书文件夹。将证书上传到 Sophos Mobile 时,您需要此信息。
- 可选:再次单击 Add 并配置其他 EAS 代理实例。
- 配置所有要求的 EAS 代理实例后,单击 Next。将测试您输入的服务器端口,并配置 Windows 防火墙的入站规则。
-
在 Allowed mail user agents (允许的邮件用户代理) 页面上,可以指定允许连接到 EAS 代理的邮件用户代理 (即电子邮件客户端应用程序)。当客户端使用未指定的电子邮件应用程序连接到 EAS 代理时,请求将被拒绝。
- 选择 Allow all mail user agents 配置无限制。
- 选择 Only allow the specified mail user agents (只允许指定的邮件用户代理),然后从列表中选择邮件用户代理。单击 Add 将记录添加到允许代理列表中。对所有允许连接到 EAS 代理的邮件用户代理,重复此操作。
-
在 Sophos Mobile EAS Proxy - Configuration Wizard finished 页面上,单击 Finish 关闭配置向导并返回安装向导。
- 在安装向导中,确保选中 Start Sophos Mobile EAS Proxy server now 复选框,然后单击 Finish 完成配置,并开始首次启动 Sophos Mobile EAS 代理。
- 要完成 EAS 代理配置,请把为每个代理实例创建的证书上传到 Sophos Mobile:
- 在 Sophos Central Admin 中,转到 My Products > Mobile。
- 在侧边的菜单栏中,单击设置 > Sophos 设置,然后单击 EAS 代理选项卡。
-
在外部下,单击上传文件。上传配置期间创建的证书。
如果您设置了多个实例,请对所有实例证书重复此操作。
-
单击保存。
- 在 Windows 中,打开服务对话框并重新启动 EASProxy 服务。
这样就完成了 EAS 代理的初始设置。
注释
每天,EAS 代理日志记录都会移入一个新文件,命名方式为 EASProxy.log.yyyy-mm-dd
。这些日常的日志文件不会自动删除,因此随着时间的推移可能会导致磁盘空间问题。我们建议设置一个过程,将日志文件移动到备份位置。