Exchange Server 2003的虚拟服务器中使用证书(1)

本文分步介绍了如何在 Exchange Server 2003 中安装和使用证书。Exchange Server 2003 包含多个虚拟服务器，这些服务器负责为多个标准的 Internet 服务提供入站和出站连接服务。这些服务是：

• 邮局协议版本 3 (POP3)
• Internet 消息访问协议版本 4 (IMAP4)
• 简单邮件传输协议 (SMTP)
• 网络新闻传输协议 (NNTP)

您可以在这些虚拟服务器上安装证书，以允许使用加密通信。

注意：Exchange Server 2003 还包含“超文本传输协议”(HTTP) 虚拟服务器。不过，您要使用“Internet 服务管理器”配置该虚拟服务器。本文不对此过程加以说明。 

要求

下面概要列出推荐使用的硬件、软件、网络基础结构和 Service Pack：

• 带有 Service Pack 3 (SP3) 的 Microsoft Windows 2000 Server
• Microsoft Active Directory 目录服务
• Exchange Server 2003
• Microsoft Outlook Express 5 或更高版本（用于测试）

本文假定您熟悉下列主题：

• Exchange 系统管理器
• TCP/IP
• 如何配置和使用“Microsoft 网络监视器”，如何设置捕获筛选器

什么是证书？

证书有助于对双方通过公共网络建立的连接进行安全保护。证书是经过数字签名的声明，其中包含公钥和所有者的名称或证书的主题。证书也由颁发主体或证书颁发机构 (CA) 签名。如果 CA 在证书上签名，则 CA 确认与该证书的公钥相关的私钥归证书中指定的用户所有。

证书提供了一种机制，用来在公钥与拥有对应私钥的实体之间建立关系。大多数证书基于“国际电信联盟电信标准化分部”(ITU-T) X.509 版本 3 的标准。

您可以使用证书执行以下任务：

• 在两名用户或两台计算机之间提供增强了安全的通信，以帮助防止他人在未经授权的情况下查看传输的邮件或文件内容。
• 对电子交换（如文件传输或邮件）进行数字签名，以验证它在传输过程中是否未被更改。
• 验证用户的身份或计算机的身份。
• 对存储系统（如硬盘或磁带）中的数据进行加密。
• 证明诸如设备驱动程序的文件已经过批准，并且未在测试过程与安装过程之间进行过更改。

通常，证书使用 .cer 扩展名，它的属性与计算机上其他文件的属性相同。一般说来，证书驻留在计算机的证书存储区。Windows 2000 包含来自多个 X.509 版本 3 公共 CA（如 VeriSign、Thawte 和 SecureNet）的证书。Windows 2000 也有内置的“证书服务器”服务，它与 X.509 版本 3 兼容。“证书服务器”服务允许您创建自己的 CA，并分发既在您的组织内使用也由外部客户端或计算机使用的证书。在部署证书时，此功能给您带来了一定的灵活性。 

如何在虚拟服务器中使用证书

邮局协议版本 3 虚拟服务器和 Internet 消息访问协议版本 4 虚拟服务器

POP3 虚拟服务器和 IMAP4 虚拟服务器提供 POP3 客户端或 IMAP4 客户端（如 Microsoft Outlook Express）从 Exchange Server 2003 计算机获取电子邮件所需的服务。如果连接速度非常缓慢，并且用户不需要 Outlook 客户端程序的完整功能，您可能希望使用 POP3 或 IMAP4 从 Exchange Server 2003 获取电子邮件。

不过，POP3 和 IMAP4 使用明文发送邮件和进行身份验证。如果向 POP3 虚拟服务器或 IMAP4 虚拟服务器添加证书，则可提供“安全套接字层”(SSL) 加密。在使用 SSL 加密时，身份验证序列和邮件正文在通过公共网络传输的整个过程中都会经过加密。

简单邮件传输协议虚拟服务器

SMTP 虚拟服务器独立提供或与 SMTP 连接器协同提供下列服务：

• 收集邮件、向外部 SMTP 服务器发送邮件、接收来自 SMTP 服务器的邮件。
• 在 Exchange Server 路由组之间路由邮件。
• 接收来自 POP3/IMAP4 客户端的邮件。

您可能无法通过使用 Exchange SMTP 连接器和 SSL 加密来配置通过外部域发送和接收邮件的 SMTP 虚拟服务器。Internet 上的大多数 SMTP 服务器不支持 SSL 加密；不过，如果使用 SMTP 作为 POP3 和 IMAP4 电子邮件发送机制，则必须对这些事务加密。如果已经为 POP3 或 IMAP4 电子邮件收集过程配置了 SSL，则更是如此。

Microsoft 建议您创建两个单独的 SMTP 虚拟服务器用于 Exchange Server 路由组和 POP3 及 IMAP4 电子邮件发送。如果为这两个虚拟服务器配置证书和 SSL 加密，则可使用默认的 SMTP 虚拟服务器通过 SMTP 连接器连接到外部域。

超文本传输协议虚拟服务器

通常，您在“超文本传输协议”(HTTP) 虚拟服务器中使用证书为使用 Microsoft Outlook Web Access (OWA) 检索电子邮件的用户提供支持。为此，最好获得第三方证书。有了第三方证书，用户即可从公共计算机（例如网吧中的计算机）连接到他们的邮箱。

网络新闻传输协议虚拟服务器

如果符合以下条件，则可在 NNTP 虚拟服务器中使用证书：

• 您的客户端使用 NNTP 连接到 Exchange Server 2003 公用文件夹。
• 您使用 NNTP 在组织之间复制公用文件夹。

通常，与 Usenet 新闻组服务器的连接不支持身份验证或加密。如果在 NNTP 中使用证书，则必须为此目的创建另一个 NNTP 虚拟服务器。

如何选择证书源

当您获取要在虚拟服务器中使用的证书时，您有三个选择：

• 您可以从外部 CA 购买单个证书。
• 您可以成为外部 CA 的从属 CA。
• 您可以实现和维护自己的根 CA 结构。

您可能需要组合使用上述方法。例如，您可以创建自己的 CA 结构，并从外部 CA 购买单个证书。

如何从外部证书颁发机构购买证书

您可以向外部 CA（例如，VeriSign 或 Thawte）申请随 Windows 2000 安装的某个根证书验证的证书。如果符合以下条件，则可从外部 CA 购买单个证书：

• 您希望向一般的 Internet 用户提供增强型安全连接（例如，在电子商务环境中）。
• 您希望支持必须从公共计算机（例如，网吧中的计算机）进行连接的用户。
• 您不能或不希望支持自己的 CA 环境。

通常，证书成本大约600 美元起，这使它成为获取一个证书最便宜的方式。例如，如果您按此方式购买一个证书，那么所有员工都能从运行 Windows 和 Internet Explorer 4.0 及更高版本的任何计算机通过增强型安全连接访问他们的邮箱。

如何成为外部证书颁发机构的从属证书颁发机构

要完成这一步，您应将自己设置为经过外部 CA 认证的从属 CA。这意味着，您可以颁发多个受信任的证书（因为它们链接到可公开得到的证书），而不必单独购买每个证书。您仍然必须维护自己的 CA 结构。审批过程需要三到六个月，最低费用为 50,000 美元。例如，Microsoft 是经过 VeriSign 认证的从属 CA。

如果符合以下条件，则可考虑成为从属 CA：

• 您希望提供许多可公开得到的证书；例如，用于代码签名的设备驱动程序。
• 您可以提供实现和管理从属 CA 所需的专业技能和支持。
• 您希望能够自由创建、管理和吊销公用证书。

如何实现和维护您自己的根证书颁发机构结构

如果符合以下条件，则可创建您自己的根 CA 结构：

• 您可以创建可靠且有效的根 CA，并且具有相应的设备。
• 您只向本组织的用户或数量有限的外部客户端、客户或计算机提供连接。
• 您使用证书识别用户，方法是将证书与特定登录帐户关联。
• 您希望在创建、分配和吊销证书方面获得最大的自由度和灵活性，而不必向任何外部组织呈报。

如果您实现和维护 CA 结构（不是小操作），它需要颁发和维护证书的计算机始终可用。有关如何安装和配置证书服务器的更多信息，请参阅 Microsoft Windows 2000 Server Resource Kit 和 Windows 2000 帮助。

为了满足需求，您可能考虑同时使用外部 CA 和您自己的 CA。例如，您可以将外部 CA 用于公共电子商务网站，在员工通过 Internet 连接到 Exchange Server 计算机时，使用他们自己的 CA 验证员工身份。

在您获得了证书或设置了自己的 CA 后，您必须在 Exchange Server 虚拟服务器上安装证书。对除 HTTP 虚拟服务器以外的所有其他类型的服务器来说，此过程基本相同。要在 POP3、IMAP4、SMTP 和 NNTP 虚拟服务器上安装证书，请使用“Exchange 系统管理器”。要配置 HTTP 虚拟服务器，请使用“Internet 服务管理器”（本文不对此过程加以说明）。

共2页: 1 [2] 下一页