Exchange 2019客戶端訪問和SSL系列

exchange 2007客戶端訪問和ssl系列ssl,exchange,客戶端,訪問,ssl,

exchange,客戶端,訪問

序言安全套接字層是用來加密客戶端和伺服器之間通訊的一種方法。microsoft exchange server 2007能夠為所有的客戶端訪問協議部署ssl。這些協議包括microsoftexchange activesync、microsoft office outlook webaccess、outlook anywhere、pop3、imap4、可用性服務、自動發現服務和exchange web服務。

在預設情況下，當您在exchange 2007中安裝客戶端訪問伺服器角色，exchange

activesync、outlook web access、可用性服務和

autodiscover服務都被配置為使用ssl。

該系列文章將解釋為什麼我們建議您使用ssl來您的客戶端通訊的安全，並為如何給您的客戶端訪問協議配置ssl提供指導。此外，也為如何配置客戶端應用程式以使用ssl

提供指導。什麼是ssl

ssl在客戶端和伺服器之間建立乙個安全的連線。對於一台安裝了客戶端訪問伺服器角色的exchange 2007計算機，ssl被用來保護伺服器和客戶端之間的安全可靠的通訊。客戶端包括移動裝置、組織內部網路的計算機、組織外部網路的計算機。

這些客戶端使用和沒有使用虛擬專用網(vpn)

連線。在預設情況下，當您安裝好exchange2007，當您使用outlook web access、exchange activesync和outlookanywhere的時候，客戶端的通訊被ssl加密。在預設情況下，

郵局協議3 (pop3)和internet郵件訪問協議版本4rev1(imap4)沒有被配置通過ssl來通訊。

ssl要求您使用數字證書，下面將對幾種不同型別的數字證書進行概述，除此之外，還提供如何配置使用這些型別

證書的每個客戶端訪問協議的資訊。

數字證書概述

數字證書是電子檔案，象**的密碼一樣工作，用來驗證使用者或者計算機的身份。它們被用來為客戶端通訊建立ssl加密的通道。證書是一種被證書授權機構(ca)頒發的數字宣告，該機構擔保證書持有人的身份，並讓這些團體使用

加密以一種安全的方式進行通訊。數字證書執行下面這些：

· 它們認證那些持有者—人、**、甚至象路由器這

樣的網路資源―真正是他們所聲稱的人或者物。· (pki)頒發，或者他們是自簽名的。每種證書都有好處和壞處，每種數字證書都是防

篡改和不能被偽造。

證書能夠頒發給幾種用途，這些用途包括網路使用者認證、網路伺服器認證、secure/mime (s/mime)、internetprotocol security (ipsec)、傳輸層安全(tls)和**籤

名。一張證書包含乙個公鑰，並將該公鑰附於持有對應私鑰的身份的人、計算機或者服務。在傳輸之前，公鑰和私鑰被客戶端和伺服器用來加密資料。

對於基於windows的使用者、計算機和服務，當在信任根證書儲存中有乙份根證書的拷貝同時證書包含乙個有效的證書路徑時，信任某個ca被建立。為了讓證書有效，證書一定不能被吊銷並且有效期也一定不

能過期。

證書的型別有三種主要的數字證書：自簽名證書、windows公共金鑰機構生成的證書和第三方證書。

自簽名證書

當您安裝exchange 2007客戶端訪問伺服器角色的時候，會建立一張自簽名的證書。該自簽名證書增強組織內部exchange 2007伺服器之間的安全通訊，另外也為加密客戶端通訊提供了一種臨時方法直到獲得並安裝一張備用的證書。該自簽名證書有兩個主題備用名稱：

乙個是客戶端訪問伺服器的netbios名稱，另乙個是客戶端訪問伺服器的fqdn。儘管該自簽名的證書能夠被用來加密客戶端訪問伺服器和其他exchange2007伺服器角色之間的通訊，我們不建議將它用在客戶端應用程式和裝置上。因為自簽名證書的限制，。

注意：除了郵箱伺服器角色以外，每個exchange2007服

務器角色會安裝一張自簽名的證書。

自簽名證書的限制

下面我們描述自簽名證書的一些限制：

· 過期時間：自簽名證書在exchange 2007安裝後的

12個月終止，當乙個證書終止後，必須使用

new-exchangecertificate cmdlet來手動生成一張新的自

簽名證書。

· outlook anywhere：自簽名證書不能和outlookanywhere一起使用，如果您想使用outlook anywhere，我們建議您從windows pki或者信任的第三方商業機構獲得一

張證書。

· exchange activesync：自簽名證書不能用來加密microsoft exchange activesync裝置和exchange伺服器之間的通訊，我們建議您從windows pki或者信任的第三方商業機構獲得一張證書為使用exchange activesync。· outlook web access：

outlook web access使用者將收到乙個訊息，該訊息通知他們被使用的用來增強owa安全的證書不被信任，產生該錯誤是因為，該證書不是被客戶端信任的機構簽名，使用者可以忽略該訊息，並為owa使用一張自簽名的證書，但是，我們建議您從windows pki或者信

任的第三方商業機構獲得一張證書。

stellaitlab

學徒網管

帖子56精華

0積分8mst幣212個bst幣8個閱讀許可權

什麼時候使用自簽名證書自簽名證書能夠被用來與幾個協議加密通訊並在多個場景中，加入域的outlook客戶端使用自簽名證書來加密電子郵件通訊和加密客戶端和伺服器之間的通訊通道。象前面提到的一樣，您能夠讓outlook webaccess使用者使用自簽名的證書來加密通訊通道。您也能夠使用自簽名證書來加密不同活動目錄站點中的客戶端訪問伺服器之間的通訊。

這種情況，也稱為cas-cas**，需要

修改乙個登錄檔才能正常工作。

web access使用，我們不建議為其他任何目的長期使用自簽名證書，除了加密組織內部的exchange2007伺服器之間的通訊。為了支援許多，如果不

是全部的客戶端訪問伺服器特性，象exchangeactivesync、outlook web access、outlook anywhere，我們建議您從windows pki或者信任的第三方商業機構獲得一張證書，並保證該證書被匯入到每個計算機或者裝置上的信任根儲存

中。重要：自簽名證書不支援給outlook anywhere或者

exchange activesync使用

windows公共金鑰基礎機構(pki)證書

第二種型別的證書是windowspki生成的證書，pki是乙個數字證書、證書機構、核實和驗證通過公共金鑰密碼術參與電子交易每個團體的有效性的序號產生器構。當您在使用活動目錄的組織中部署ca，您為證書生命週期管理、更新、信任管理和撤回提供了乙個基礎機構。windows pki讓組織發布他們自己的證書，在內部網路中，客戶端能夠從windowspki請求和收到證書。

windowspki能夠更新或者撤回證書。

證書服務需要部署windows pki，可以通過控制面板中的新增\刪除程式來部署。您能夠將證書服務安裝在域中的

任何伺服器上。

如果您從加入的windows ca獲得證書，您能夠使用該ca來請求或者給證書簽名來頒發給網路中您自己的伺服器或者計算機。這讓您使用pki來模擬乙個第三方證書**商，但是不昂貴。儘管這些pki證書不能象其他型別的證書那樣公開部署，當乙個pki ca通過使用私鑰簽名請求者的證書，該請求者被驗證。

該ca的公鑰是證書的一部分。在信任根證書儲存中擁有該證書的伺服器，能夠使用公鑰來解密請求

者的證書並認證請求者。

部署pki生成的證書的這些步驟模擬那些要求部署自簽名證書。您仍必須安裝信任根證書的拷貝，從pki到您想用來建立ssl連線到microsoft exchange的計算機或者移動

裝置的信任根證書儲存。

信任的第三方證書

第三方或者商業證書是由第三方或者商業ca生成的證書，然後被購買用於您的網路上的伺服器。自簽名證書和基於pki的證書的乙個問題是，因為這種證書不被客戶端計算機或者移動裝置自動信任，您必須保證您將該證書匯入到客戶端計算機和移動裝置上的信任根證書儲存中。第三方或者商業證書不會有該問題，因為證書已經在信任根證書儲存中，大多數商業ca證書已經被信任。

因為頒發者被資訊，證書也被信任。使用第三方證書能大大地簡化部署。

對於大型的組織或者必須公開部署證書的組織，最好的辦法是使用第三方或者商業證書，即使有和證書相關的成本。對於中小型組織，商業證書也許不是最好的方法，您也

許想使用可用的其他證書選項中的一種。

Exchange 2019客戶端訪問和SSL系列

客戶端簡介初級

客戶端頁面設計

ClearCase客戶端安裝指導

Exchange 2019客戶端訪問和SSL系列

客戶端簡介 初級

客戶端頁面設計

ClearCase客戶端安裝指導

相關推薦

客戶端簡介初級