Exchange 2007客户端访问和SSL系列

ghosty

    序言
　　安全套接字层是用来加密客户端和服务器之间通讯的一种方法。Microsoft Exchange Server 2007 能够为所有的客户端访问协议部署SSL。这些协议包括Microsoft Exchange ActiveSync、Microsoft Office Outlook Web Access、Outlook Anywhere、POP3、 IMAP4、可用性服务、自动发现服务和Exchange Web 服务。在缺省情况下，当您在Exchange 2007中安装客户端访问服务器角色，Exchange ActiveSync、Outlook Web Access、可用性服务和 Autodiscover服务都被配置为使用SSL。
　　该系列文章将解释为什么我们建议您使用SSL来您的客户端通讯的安全，并为如何给您的客户端访问协议配置SSL提供指导。此外，也为如何配置客户端应用程序以使用SSL提供指导。
　　什么是SSL
　　SSL在客户端和服务器之间创建一个安全的连接。对于一台安装了客户端访问服务器角色的Exchange 2007 计算机，SSL被用来保护服务器和客户端之间的安全可靠的通讯。客户端包括移动设备、组织内部网络的计算机、组织外部网络的计算机。这些客户端使用和没有使用虚拟专用网(VPN)连接。
　　在缺省情况下，当您安装好Exchange 2007 ，当您使用Outlook Web Access、Exchange ActiveSync和 Outlook Anywhere的时候，客户端的通讯被SSL加密。在缺省情况下，邮局协议3 (POP3)和Internet 邮件访问协议版本4rev1(IMAP4)没有被配置通过SSL来通讯。
　　SSL要求您使用数字证书，下面将对几种不同类型的数字证书进行概述，除此之外，还提供如何配置使用这些类型证书的每个客户端访问协议的信息。
　　数字证书概述
　　数字证书是电子文件，象在线的密码一样工作，用来验证用户或者计算机的身份。它们被用来为客户端通讯创建SSL加密的通道。证书是一种被证书授权机构(CA)颁发的数字声明，该机构担保证书持有人的身份，并让这些团体使用加密以一种安全的方式进行通讯。
　　数字证书执行下面这些：
　　· 它们认证那些持有者—人、网站、甚至象路由器这样的网络资源―真正是他们所声称的人或者物。
　　· 它们保护被在线交换的数据不被窃取或者篡改
　　数字证书能够被信任的第三方CA或者使用证书服务的Microsoft Windows公共密钥机构 (PKI)颁发，或者他们是自签名的。每种证书都有好处和坏处，每种数字证书都是防篡改和不能被伪造。
　　证书能够颁发给几种用途，这些用途包括网络用户认证、网络服务器认证、Secure/MIME (S/MIME)、Internet Protocol security (IPsec)、传输层安全 (TLS)和代码签名。
　　一张证书包含一个公钥，并将该公钥附于持有对应私钥的身份的人、计算机或者服务。在传输之前，公钥和私钥被客户端和服务器用来加密数据。对于基于Windows的用户、计算机和服务，当在信任根证书存储中有一份根证书的拷贝同时证书包含一个有效的证书路径时，信任某个CA被建立。为了让证书有效，证书一定不能被吊销并且有效期也一定不能过期。
   证书的类型
　　有三种主要的数字证书：自签名证书、Windows 公共密钥机构生成的证书和第三方证书。
　　自签名证书
　　当您安装Exchange 2007 客户端访问服务器角色的时候，会创建一张自签名的证书。该自签名证书增强组织内部Exchange 2007服务器之间的安全通讯，另外也为加密客户端通讯提供了一种临时方法直到获得并安装一张备用的证书。该自签名证书有两个主题备用名称：一个是客户端访问服务器的NetBIOS名称，另一个是客户端访问服务器的FQDN。尽管该自签名的证书能够被用来加密客户端访问服务器和其他Exchange 2007 服务器角色之间的通讯，我们不建议将它用在客户端应用程序和设备上。因为自签名证书的限制，我们建议您使用一张信任第三方的商业证书或者一张被Windows 公共密钥机构签名的证书来替换自签名的证书。
　　注意：除了邮箱服务器角色以外，每个Exchange 2007 服务器角色会安装一张自签名的证书。
　　自签名证书的限制
　　下面我们描述自签名证书的一些限制：
　　· 过期时间：自签名证书在Exchange 2007 安装后的12个月终止，当一个证书终止后，必须使用New-ExchangeCertificate cmdlet 来手动生成一张新的自签名证书。
　　· Outlook Anywhere：自签名证书不能和Outlook Anywhere 一起使用，如果您想使用Outlook Anywhere，我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书。
　　· Exchange ActiveSync：自签名证书不能用来加密Microsoft Exchange ActiveSync 设备和Exchange 服务器之间的通讯，我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书为使用Exchange ActiveSync。
　　· Outlook Web Access： Outlook Web Access用户将收到一个消息，该消息通知他们被使用的用来增强OWA安全的证书不被信任，产生该错误是因为，该证书不是被客户端信任的机构签名， 用户可以忽略该消息，并为OWA使用一张自签名的证书，但是，我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书。
    什么时候使用自签名证书 自签名证书能够被用来与几个协议加密通讯并在多个场景中，加入域的Outlook客户端使用自签名证书来加密电子邮件通讯和加密客户端和服务器之间的通讯通道。象前面提到的一样，您能够让Outlook Web Access 用户使用自签名的证书来加密通讯通道。您也能够使用自签名证书来加密不同活动目录站点中的客户端访问服务器之间的通讯。这种情况，也称为CAS-CAS 代理，需要修改一个注册表才能正常工作。
　　什么时候不应该使用自签名证书 尽管自签名证书支持让加入域的Microsoft Office Outlook 2007 客户端使用自动发现服务和Outlook Web Access 使用，我们不建议为其他任何目的长期使用自签名证书，除了加密组织内部的Exchange 2007 服务器之间的通讯。为了支持许多，如果不是全部的客户端访问服务器特性，象Exchange ActiveSync、Outlook Web Access、Outlook Anywhere，我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书，并保证该证书被导入到每个计算机或者设备上的信任根存储中。
　　重要：自签名证书不支持给Outlook Anywhere 或者Exchange ActiveSync使用
　　Windows 公共密钥基础机构(PKI)证书
　　第二种类型的证书是Windows PKI 生成的证书，PKI是一个数字证书、证书机构、核实和验证通过公共密钥密码术参与电子交易每个团体的有效性的注册机构。当您在使用活动目录的组织中部署CA，您为证书生命周期管理、更新、信任管理和撤回提供了一个基础机构。Windows PKI 让组织发布他们自己的证书，在内部网络中，客户端能够从Windows PKI请求和收到证书。Windows PKI 能够更新或者撤回证书。
　　证书服务需要部署Windows PKI，可以通过控制面板中的添加\删除程序来部署。您能够将证书服务安装在域中的任何服务器上。
　　如果您从加入的Windows CA获得证书，您能够使用该CA来请求或者给证书签名来颁发给网络中您自己的服务器或者计算机。这让您使用PKI来模拟一个第三方证书供应商，但是不昂贵。尽管这些PKI证书不能象其他类型的证书那样公开部署，当一个PKI CA通过使用私钥签名请求者的证书，该请求者被验证。该CA的公钥是证书的一部分。在信任根证书存储中拥有该证书的服务器，能够使用公钥来解密请求者的证书并认证请求者。
　　部署PKI生成的证书的这些步骤模拟那些要求部署自签名证书。您仍必须安装信任根证书的拷贝，从PKI到您想用来建立SSL连接到Microsoft Exchange的计算机或者移动设备的信任根证书存储。
　　信任的第三方证书
　　第三方或者商业证书是由第三方或者商业CA生成的证书，然后被购买用于您的网络上的服务器。自签名证书和基于PKI的证书的一个问题是，因为这种证书不被客户端计算机或者移动设备自动信任，您必须保证您将该证书导入到客户端计算机和移动设备上的信任根证书存储中。第三方或者商业证书不会有该问题，因为证书已经在信任根证书存储中，大多数商业CA证书已经被信任。因为颁发者被信息，证书也被信任。使用第三方证书能大大地简化部署。
　　对于大型的组织或者必须公开部署证书的组织，最好的办法是使用第三方或者商业证书，即使有和证书相关的成本。对于中小型组织，商业证书也许不是最好的方法，您也许想使用可用的其他证书选项中的一种。
    为您的Exchange 2007 组织计划证书配置
　　所有的客户端需要一个URL或者完全限定域名(FQDN)用来连接。客户端连接的每个路径必须和一张有效的证书结合起来，该证书包含主机名称、NetBIOS 名称、FQDN或者客户端要连接的主机的公用名称。当您决定证书上要包含的名称列表时，您所做的被称为名称空间计划。
　　名称空间是一个逻辑结构，通常由DNS中的域名来表示。当您在定义您的名称空间时，您必须考虑您的客户端和驻留邮箱的服务器的各种各样的场所。除了客户端的物理位置以外，您必须评估它们如何连接到Exchange 2007。这些问题的答案将决定您必须拥有多少个名称空间。您的名称空间一般和您的DNS配置紧密联系，我们建议有一个或者多个面向Internet 的客户端访问服务器的每个活动目录站点有唯一的名称空间。这通常由DNS中的A记录来表示，例如：mail.contoso.com 或者 mail.europe.contoso.com。
　　在部署一个Exchange 2007 组织之前，您必须决定如何配置您的组织和您的名称空间如何被定义，对名称空间所做的决定将影响下面这些：
　　· 您如何配置DNS
　　· 您必须用那些证书来加密您的Exchange 2007 和您的客户端计算机以及设备之间的通讯
　　· 您的客户端如何访问他们的邮箱
　　名称空间计划关系到检查您的物理和逻辑网络结构和选择组织拓扑。该部分提供了各种不同的拓扑的概述和每个拓扑如何影响您的Exchange 组织的信息。
　　您必须理解证书的名称空间，以便您知道用来增强到Exchange 2007 入站连接的证书的SAN 扩展中要包含哪个主机名称。

ks11-sky

ks11-sky