1.环境拓扑图：

2.在DMZ区域中安装ExchangeServer 2010邮件服务器，并在内部验证成功发送和接收邮件

3.在Exchange 2010邮件服务器上安装CA证书颁发服务器

安装AD证书服务：

添加“证书颁发机构”和“证书颁发机构Web注册”：

选择“企业CA”：

选择“根CA”：

新建私钥：

加密方式：

CA名称：

有效期：

证书数据库路径：

开始安装：

完成安装：

4.在Exchange 2010邮件服务器的Web服务器上，为默认站点向CA服务器申请网站服务证书

打开Exchange2010服务器，IIS管理控制台，双击“服务器证书”：

点击“创建证书申请”：

在“通用名称”中添加Exchange服务器要发布的FQDN名称：

设置加密类型：

选择文件的存放位置：

在Exchange服务器上打开IE浏览器输入：https://CA服务器的IP地址/certsrv，点击“申请证书”：

选择“使用base编码”：

在保存的申请中，输入当时Exchange服务器保存的记事本中的全部内容，证书模版选择“Web服务器”，点击“提交”：

打开CA管理控制台，企业级CA自动颁发证书：

5.在Exchange服务器中下载证书并安装证书

回到IIS管理控制台，找到“服务器证书”，点击右侧的“完成证书申请”：

找到刚下载的网站证书：

找到网站站点，选择“绑定”，找到“https”，点击“编辑”：

选择协议类型为“https”，端口为“443”，SSL证书为刚刚保存的网站证书：

删除默认的“https-443-127.0.0.1”：

查看结果：

6.在默认站点上把Exchange服务器的证书导出成文件（导出私钥）保存到本机，把该证书文件复制到TMG服务器中，并导入到TMG的服务器（计算机证书）个人证书里

打开Exchange服务器的计算机证书，找到证书导出：

导出私钥：

输入密码：

保存路径：

导出成功：

把Exchange服务器的证书复制到TMG服务器中：

到TMG服务器的计算机证书的个人证书，选择导入：

输入当时的密码：

完成导入：

7.在TMG服务器上创建允许http/https的访问规则

新建访问规则：

输入名称：

选择“允许”：

协议类型选择“https”：

访问源选择“本地主机”，即TMG：

访问目标为“外围”：

查看结果：

8.在TMG服务器上，下载证书链导入到受信任的证书列表中

在TMG服务器上打开IE浏览器输入：https://CA服务器的IP地址/certsrv，点击“下载CA证书、证书链或CRL”：

点击“是”：

选择“下载CA证书”，保存：

在TMG服务器的计算机证书中，找到“受信任的根证书颁发机构”，选择“导入”：

找到刚下载的CA证书：

导入证书的结果：

9.在TMG服务器上创建ExchangeWeb客户端访问发布规则

新建“Exchange Web客户端访问发布规则”：

新建名称：

选择版本为Exchange 2010，Web客户端邮件服务为“Outlook Web Access”：

选择发布类型“发布单个网站或负载平衡器”：

选择“使用SSL连接到发布的Web服务器或服务器场”：

输入内部站点名称，勾选“使用计算机名称或IP地址连接到发布的服务器”，并输入Exchange服务器的IP地址：

输入公用名称：

新建Web侦听器：

选择“需要与客户端建立SSL安全连接”：

选择侦听范围为“外部”：

选择有效的证书：

下一步：

选择身份验证为“没有身份验证”：

完成Web侦听器：

选择身份验证委派为“无委派，客户端无法直接进行身份验证”：

查看结果：

10.修改外部客户机的hosts文件，把发布的证书名称解析为TMG服务器的外网网卡的IP地址，并使用ping命令验证

11.在客户机上使用OWA方式来连接Exchange服务器（https://发布的通用名称/OWA）来验证是否能成功发送和接收邮件

首先在Exchange服务器中新建邮箱用户：

在客户端打开IE浏览器，输入https://发布的公用名称FQDN/owa，并输入邮箱用户和密码：

向内网的管理员发送封测试邮件：

回到内网的管理员的Outlook，发现外网的用户的测试邮件已经到达：

在内网的管理员给外网的用户回复封邮件：

外网的用户也收到了内网管理员发回的回复邮件！