Exchange Server 2010 的证书配置(一)

在计算机安全问题日益严重的趋势下,Exchange Server 2010在默认情况下,对所有的网络连接全部使用加密方式进行。包括:组织间的Exchange服务器之间使用TLS、Exchange服务器与客户端之间使用SSL,以及Exchange与组织外的服务器之间使用TLS(分为强制和可选两种)。
在计算机之间进行加密连接,证书是一个必不可少的要素。如果要就证书的原理进行详细介绍,需要写上一本书。对于Exchange管理员来说,并不需要了解得十分深入。下面会就证书是什么、如何申请、如何使用等几个方面进行简要的说明。
每个证书都有如下几个关键信息:名称、用途、颁发机构,这些信息是公开的、可读的。当打开一个证书时,可以从证书的属性页面中获取这些信息。例如下图所示的是个人证书:
Exchange2010证书
上面是两个用户打开同一个证书时的截图,注意到有什么不同吗?左边的截图中,显示“您有一个与该证书对应的私钥”,这说明当前查看证书的用户是该证书的所有者;右边的截图中,由于用户不是证书的所有者,因此没有这个提示。
在证书的属性页面中,切换到“证书路径”(Certification Path),就可以看到这个证书颁发的完整信息,这个页面中,需要注意的是证书颁发机构,即根证书的信息。使用者必须信任这个根证书。
Exchange2010证书
例如:A和B之间将使用证书实行安全通讯,A提供了自己的证书给B,B将验证这张证书的信息:证书名称是否与A声称的名称一致、证书目的是否允许用于加密通讯、证书的颁发机构是否受信任以及证书是否在有效期内。以上的任意一点没有满足条件,B将拒绝使用该证书。这里的A和B可以是个人,也可以是计算机。在上面的场景中,如果A是Exchange服务器而B是Exchange的用户,那么B所使用的客户端软件(IE或Outlook)就会弹出警告信息。
以下是IE访问时的警告信息示例,该警告信息提示了两个问题:证书不是受信任的颁发机构所颁发的;证书名称与当前访问的名称不匹配。
Exchange2010证书
要解决这些问题,需要:1、安装证书颁发机构的根证书;2、确保证书名称与连接的服务器名称向匹配。
安装证书颁发机构的根证书
使用Windows服务器自带的证书颁发机构时,可以启用证书的Web引用方式。这样Windows会在IIS中创建CertSrv虚拟目录,用户可以使用浏览器访问这个虚拟目录来进行证书相关的操作。
Exchange2010证书
用浏览器访问http://CAServer/CertSrv,然后点击下载CA根证书。
Exchange2010证书
将根证书保存到客户端
Exchange2010证书
双击打开,并点击“安装证书”(Install Certificate)。按照默认设置将证书安装到系统中即可。
Exchange2010证书
要验证根证书是否安装成功,可以在“启动”中输入MMC并运行,然后在MMC中依次选择:文件=>添加/删除管理单元=>证书=>我的用户帐户。
Exchange2010证书
在MMC控制台中,依次展开受信任的根证书颁发机构,检查前面导入的证书是否存在。
Exchange2010证书
也可以跳过第3步,直接在MMC控制台中,右键单击“受信任的根证书颁发机构”,从弹出菜单中选择“所有任务”=>“导入”;然后选择前面保存的证书文件进行导入。
Exchange2010证书
在导入时,选择“将证书存放到以下位置”(Place all certificates in the following store),然后点击浏览Browse,选择“受信任的根证书颁发机构”(Trusted Root Certification Authorities)
Exchange2010证书
如果部署的是Windows证书颁发机构,默认情况下,在活动目录中的所有用户帐号、计算机帐号都会信任该证书颁发机构,无需额外设置。而如果客户端没有加入域,就需要使用前面的步骤来进行根证书的导入了。这里就会遇到另一种情况,用户在Internet上发起连接,而公司的证书服务器没有发布到Internet上,客户端就无法访问证书服务器来获取根证书。针对这种情况,可以在Exchange保存根证书,然后修改OWA的登录页面,添加一个下载根证书的链接,使用户能够在访问OWA时,直接下载根证书进行安装。
Exchange2010证书
相关阅读:

 

Exchange中文站

Exchange中文站

Exchange中文站是一个专注讨论 Microsoft Exchange Server / Exchange Online / Office 365 的技术型网站。
Exchange中文站

Exchange中文站 的最新文章 (查看所有)

发布于: 浏览:4060 次

还没有评论

欢迎参与到我们的技术讨论,问题和分享都可以。