鸿 网 互 联 www.68idc.cn

Exchange2007客户端访问和SSL系列

来源:互联网 作者:佚名 时间:2015-06-17 09:35
序言 安全套接字层是用来加密客户端和服务器之间通讯的一种方法 Microsoft Exchange Server 能够为所有的客户端访问协议部署SSL 这些协议包括Microsoft Exchange ActiveSync Microsoft Office Outlook Web Access Outlook Anywhere POP IMAP 可用性服务 自动

  序言

  安全套接字层是用来加密客户端和服务器之间通讯的一种方法Microsoft Exchange Server 能够为所有的客户端访问协议部署SSL这些协议包括Microsoft Exchange ActiveSyncMicrosoft Office Outlook Web AccessOutlook AnywherePOP IMAP可用性服务自动发现服务和Exchange Web 服务在缺省情况下当您在Exchange 中安装客户端访问服务器角色Exchange ActiveSyncOutlook Web Access可用性服务和 Autodiscover服务都被配置为使用SSL

  该系列文章将解释为什么我们建议您使用SSL来您的客户端通讯的安全并为如何给您的客户端访问协议配置SSL提供指导此外也为如何配置客户端应用程序以使用SSL提供指导

  什么是SSL

  SSL在客户端和服务器之间创建一个安全的连接对于一台安装了客户端访问服务器角色的Exchange 计算机SSL被用来保护服务器和客户端之间的安全可靠的通讯客户端包括移动设备组织内部网络的计算机组织外部网络的计算机这些客户端使用和没有使用虚拟专用网(VPN)连接

  在缺省情况下当您安装好Exchange 当您使用Outlook Web AccessExchange ActiveSync和 Outlook Anywhere的时候客户端的通讯被SSL加密在缺省情况下邮局协议 (POP)和Internet 邮件访问协议版本rev(IMAP)没有被配置通过SSL来通讯

  SSL要求您使用数字证书下面将对几种不同类型的数字证书进行概述除此之外还提供如何配置使用这些类型证书的每个客户端访问协议的信息

  数字证书概述

  数字证书是电子文件象在线的密码一样工作用来验证用户或者计算机的身份它们被用来为客户端通讯创建SSL加密的通道证书是一种被证书授权机构(CA)颁发的数字声明该机构担保证书持有人的身份并让这些团体使用加密以一种安全的方式进行通讯

  数字证书执行下面这些

  · 它们认证那些持有者—人网站甚至象路由器这样的网络资源―真正是他们所声称的人或者物

  · 它们保护被在线交换的数据不被窃取或者篡改

  数字证书能够被信任的第三方CA或者使用证书服务的Microsoft Windows公共密钥机构 (PKI)颁发或者他们是自签名的每种证书都有好处和坏处每种数字证书都是防篡改和不能被伪造

  证书能够颁发给几种用途这些用途包括网络用户认证网络服务器认证Secure/MIME (S/MIME)Internet Protocol security (IPsec)传输层安全 (TLS)和代码签名

  一张证书包含一个公钥并将该公钥附于持有对应私钥的身份的人计算机或者服务在传输之前公钥和私钥被客户端和服务器用来加密数据对于基于Windows的用户计算机和服务当在信任根证书存储中有一份根证书的拷贝同时证书包含一个有效的证书路径时信任某个CA被建立为了让证书有效证书一定不能被吊销并且有效期也一定不能过期 

  证书的类型

  有三种主要的数字证书自签名证书Windows 公共密钥机构生成的证书和第三方证书

  自签名证书

  当您安装Exchange 客户端访问服务器角色的时候会创建一张自签名的证书该自签名证书增强组织内部Exchange 服务器之间的安全通讯另外也为加密客户端通讯提供了一种临时方法直到获得并安装一张备用的证书该自签名证书有两个主题备用名称一个是客户端访问服务器的NetBIOS名称另一个是客户端访问服务器的FQDN尽管该自签名的证书能够被用来加密客户端访问服务器和其他Exchange 服务器角色之间的通讯我们不建议将它用在客户端应用程序和设备上因为自签名证书的限制我们建议您使用一张信任第三方的商业证书或者一张被Windows 公共密钥机构签名的证书来替换自签名的证书

  注意除了邮箱服务器角色以外每个Exchange 服务器角色会安装一张自签名的证书

  自签名证书的限制

  下面我们描述自签名证书的一些限制

  · 过期时间自签名证书在Exchange 安装后的个月终止当一个证书终止后必须使用NewExchangeCertificate cmdlet 来手动生成一张新的自签名证书

  · Outlook Anywhere自签名证书不能和Outlook Anywhere 一起使用如果您想使用Outlook Anywhere我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书

  · Exchange ActiveSync自签名证书不能用来加密Microsoft Exchange ActiveSync 设备和Exchange 服务器之间的通讯我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书为使用Exchange ActiveSync

  · Outlook Web Access Outlook Web Access用户将收到一个消息该消息通知他们被使用的用来增强OWA安全的证书不被信任产生该错误是因为该证书不是被客户端信任的机构签名 用户可以忽略该消息并为OWA使用一张自签名的证书但是我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书 

  什么时候使用自签名证书 自签名证书能够被用来与几个协议加密通讯并在多个场景中加入域的Outlook客户端使用自签名证书来加密电子邮件通讯和加密客户端和服务器之间的通讯通道象前面提到的一样您能够让Outlook Web Access 用户使用自签名的证书来加密通讯通道您也能够使用自签名证书来加密不同活动目录站点中的客户端访问服务器之间的通讯这种情况也称为CASCAS 代理需要修改一个注册表才能正常工作

  什么时候不应该使用自签名证书 尽管自签名证书支持让加入域的Microsoft Office Outlook 客户端使用自动发现服务和Outlook Web Access 使用我们不建议为其他任何目的长期使用自签名证书除了加密组织内部的Exchange 服务器之间的通讯为了支持许多如果不是全部的客户端访问服务器特性象Exchange ActiveSyncOutlook Web AccessOutlook Anywhere我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书并保证该证书被导入到每个计算机或者设备上的信任根存储中

  重要自签名证书不支持给Outlook Anywhere 或者Exchange ActiveSync使用

  Windows 公共密钥基础机构(PKI)证书

  第二种类型的证书是Windows PKI 生成的证书PKI是一个数字证书证书机构核实和验证通过公共密钥密码术参与电子交易每个团体的有效性的注册机构当您在使用活动目录的组织中部署CA您为证书生命周期管理更新信任管理和撤回提供了一个基础机构Windows PKI 让组织发布他们自己的证书在内部网络中客户端能够从Windows PKI请求和收到证书Windows PKI 能够更新或者撤回证书

  证书服务需要部署Windows PKI可以通过控制面板中的添加\删除程序来部署您能够将证书服务安装在域中的任何服务器上

  如果您从加入的Windows CA获得证书您能够使用该CA来请求或者给证书签名来颁发给网络中您自己的服务器或者计算机这让您使用PKI来模拟一个第三方证书供应商但是不昂贵尽管这些PKI证书不能象其他类型的证书那样公开部署当一个PKI CA通过使用私钥签名请求者的证书该请求者被验证该CA的公钥是证书的一部分在信任根证书存储中拥有该证书的服务器能够使用公钥来解密请求者的证书并认证请求者

  部署PKI生成的证书的这些步骤模拟那些要求部署自签名证书您仍必须安装信任根证书的拷贝从PKI到您想用来建立SSL连接到Microsoft Exchange的计算机或者移动设备的信任根证书存储

  信任的第三方证书

  第三方或者商业证书是由第三方或者商业CA生成的证书然后被购买用于您的网络上的服务器自签名证书和基于PKI的证书的一个问题是因为这种证书不被客户端计算机或者移动设备自动信任您必须保证您将该证书导入到客户端计算机和移动设备上的信任根证书存储中第三方或者商业证书不会有该问题因为证书已经在信任根证书存储中大多数商业CA证书已经被信任因为颁发者被信息证书也被信任使用第三方证书能大大地简化部署

  对于大型的组织或者必须公开部署证书的组织最好的办法是使用第三方或者商业证书即使有和证书相关的成本对于中小型组织商业证书也许不是最好的方法您也许想使用可用的其他证书选项中的一种

  为您的Exchange 组织计划证书配置

  所有的客户端需要一个URL或者完全限定域名(FQDN)用来连接客户端连接的每个路径必须和一张有效的证书结合起来该证书包含主机名称NetBIOS 名称FQDN或者客户端要连接的主机的公用名称当您决定证书上要包含的名称列表时您所做的被称为名称空间计划

  名称空间是一个逻辑结构通常由DNS中的域名来表示当您在定义您的名称空间时您必须考虑您的客户端和驻留邮箱的服务器的各种各样的场所除了客户端的物理位置以外您必须评估它们如何连接到Exchange 这些问题的答案将决定您必须拥有多少个名称空间您的名称空间一般和您的DNS配置紧密联系我们建议有一个或者多个面向Internet 的客户端访问服务器的每个活动目录站点有唯一的名称空间这通常由DNS中的A记录来表示例如 或者

  在部署一个Exchange 组织之前您必须决定如何配置您的组织和您的名称空间如何被定义对名称空间所做的决定将影响下面这些

  · 您如何配置DNS

  · 您必须用那些证书来加密您的Exchange 和您的客户端计算机以及设备之间的通讯

  · 您的客户端如何访问他们的邮箱

  名称空间计划关系到检查您的物理和逻辑网络结构和选择组织拓扑该部分提供了各种不同的拓扑的概述和每个拓扑如何影响您的Exchange 组织的信息

  您必须理解证书的名称空间以便您知道用来增强到Exchange 入站连接的证书的SAN 扩展中要包含哪个主机名称

网友评论
<