安装独立的 EAS 代理

关于将独立EAS代理集成到贵公司基础设施的详细信息，参见Sophos Mobile server deployment guide的“EAS代理架构示例”。

1. 运行 Sophos Mobile EAS Proxy Setup.exe，启动 Sophos Mobile EAS Proxy - Setup Wizard (Sophos Mobile EAS 代理 - 安装向导)。

2. 在 Choose Install Location 页面上，选择目标文件夹并单击 Install 开始安装。

   安装完成后，将自动启动 Sophos Mobile EAS Proxy - Configuration Wizard（Sophos Mobile EAS 代理 - 配置向导），并引导您完成配置步骤。

3. 在 Sophos Mobile server configuration 对话框中，输入 EAS 代理将要连接的 Sophos Mobile 服务器的 URL。

   如果需要，请选择 Use proxy server 配置 EAS 代理用于连接 Sophos Mobile 服务器的代理服务器。

   还应选中 Use SSL for incoming connections (Clients to EAS Proxy) (对传入连接 (客户端到 EAS 代理) 使用 SSL)，以保护客户端和 EAS 代理之间的通信。

   除 EAS 代理凭据外，如果还想让客户端使用证书进行身份验证，则可以选中 Use client certificates for authentication (使用客户端证书进行身份验证)。这将为连接添加额外一层安全性。

   如果 Sophos Mobile 服务器向 EAS 代理提供了不同的证书，例如，因为负载平衡器后有多个服务器实例，且每个实例使用不同的证书，请选中 Allow all certificates。选中此选项后，EAS 代理将接受来自 Sophos Mobile 服务器的所有证书。

   警告

   因为 Allow all certificates (允许所有证书) 选项会降低服务器通信的安全级别，我们强烈建议您仅在您的网络环境需要时才选中它。

4. 如果之前选中了 Use SSL for incoming connections (Clients to EAS Proxy) (对传入连接 (客户端到 EAS 代理) 使用 SSL)，将显示 Configure server certificate (配置服务器证书) 页面。在此页面上，可以创建或导入用于安全 (HTTPS) 访问 EAS 代理的证书。

   注释

   Sophos Mobile 包括一个让您可以申请 SSL/TLS 证书的工具。请参阅 申请 SSL/TLS 证书。

   • 如果您还没有信任的证书，请选择 Create self-signed certificate (创建自签名证书)。

   • 如果已有信任的证书，请单击 Import a certificate from a trusted issuer (导入来自信任的颁发机构的证书)，并从列表中选择以下其中一种选项：

     • PKCS12 with certificate, private key and certificate chain (intermediate and CA)
     • Separate files for certificate, private key, intermediate and CA certificate

5. 在下一页面上，根据所选证书的类型，输入相应的证书信息。

   对于自签名证书，需要指定可以从客户端设备访问的服务器。

6. 如果您之前选中了 Use client certificates for authentication，将显示 SMC client authentication configuration 页面。在此页面上，选择来自证书颁发机构 (CA) 的证书，客户端证书必须从该证书派生出来。

   当客户端尝试连接时，EAS 代理将检查客户端证书是否是由此处指定的 CA 派生出来的。

7. 在 EAS Proxy instance setup 页面上，配置一个或多个 EAS 代理实例。

   • Instance type: 选择 EAS proxy (EAS 代理)。
   • Instance name: 用于标识该实例的名称。
   • Server port: EAS 代理用于传入电子邮件数据流的端口。如果设置多个代理实例，每个实例必须使用不同的端口。
   • Require client certificate authentication: 电子邮件客户端连接到 EAS 代理时，必须自己进行身份验证。

   • ActiveSync server (ActiveSync 服务器)：代理实例将连接的 Exchange ActiveSync 服务器实例的名称或 IP 地址。

     您在此处输入的值必须与服务器 SSL/TLS 证书的公用名 (CN) 或使用者可选名称 (SAN) 字段一致。

   • SSL: 代理实例和 Exchange ActiveSync 服务器之间的通信受到 SSL 或 TLS 的保护（取决于服务器支持的类型）。

   • Allow EWS (Sophos Secure Email): 允许邮件客户端请求访问 Exchange 服务器的 Exchange Web 服务 (EWS) 界面。

     仅当您在 iPhone 和 iPad 上使用 Sophos Secure Email 时才开启此设置。

   • Enable Traveler client access: 仅在需要允许非 iOS 设备上的 IBM Notes Traveler 客户端访问时选中此复选框。

8. 输入实例信息后，单击 Add 将实例添加到 Instances 列表中。

   安装程序将为每个代理实例创建一个证书，需要将该证书上传到 Sophos Mobile 服务器。单击 Add 后，将打开一个消息窗口，解释如何上传证书。

9. 在消息窗口中，单击 OK。将打开一个对话框，显示创建的证书所在的文件夹。

   也可以通过选择相应的实例，并单击 EAS Proxy instance setup 页面上的 Export config and upload to Sophos Mobile server 链接，打开该对话框。

10. 记录证书文件夹。将证书上传到 Sophos Mobile 时，您需要此信息。

11. 可选：再次单击 Add 并配置其他 EAS 代理实例。
12. 配置所有要求的 EAS 代理实例后，单击 Next。将测试您输入的服务器端口，并配置 Windows 防火墙的入站规则。

13. 在 Allowed mail user agents (允许的邮件用户代理) 页面上，可以指定允许连接到 EAS 代理的邮件用户代理 (即电子邮件客户端应用程序)。当客户端使用未指定的电子邮件应用程序连接到 EAS 代理时，请求将被拒绝。

    • 选择 Allow all mail user agents 配置无限制。
    • 选择 Only allow the specified mail user agents (只允许指定的邮件用户代理)，然后从列表中选择邮件用户代理。单击 Add 将记录添加到允许代理列表中。对所有允许连接到 EAS 代理的邮件用户代理，重复此操作。

14. 在 Sophos Mobile EAS Proxy - Configuration Wizard finished 页面上，单击 Finish 关闭配置向导并返回安装向导。

15. 在安装向导中，确保选中 Start Sophos Mobile EAS Proxy server now 复选框，然后单击 Finish 完成配置，并开始首次启动 Sophos Mobile EAS 代理。
16. 要完成 EAS 代理配置，请把为每个代理实例创建的证书上传到 Sophos Mobile：
17. 以超级管理员身份登录 Sophos Mobile Admin。
18. 在侧边的菜单栏中，单击设置 下，单击 设置 > Sophos 设置然后单击 EAS 代理 选项卡。

19. 在外部下，单击上传文件。上传配置期间创建的证书。

    如果您设置了多个实例，请对所有实例证书重复此操作。

20. 单击保存。

21. 在 Windows 中，打开服务对话框并重新启动 EASProxy 服务。

这样就完成了独立 EAS 代理的初始设置。