Exchange Server 2003的虚拟服务器中使用证书

概要

本文分步介绍了如何在 Exchange Server 2003 中安装和使用证书。Exchange Server 2003 包含多个虚拟服务器，这些服务器负责为多个标准的 Internet 服务提供入站和出站连接服务。这些服务是：

• 邮局协议版本 3 (POP3)
• Internet 消息访问协议版本 4 (IMAP4)
• 简单邮件传输协议 (SMTP)
• 网络新闻传输协议 (NNTP)

您可以在这些虚拟服务器上安装证书，以允许使用加密通信。

注意：Exchange Server 2003 还包含“超文本传输协议”(HTTP) 虚拟服务器。不过，您要使用“Internet 服务管理器”配置该虚拟服务器。本文不对此过程加以说明。

要求

下面概要列出推荐使用的硬件、软件、网络基础结构和 Service Pack：

• 带有 Service Pack 3 (SP3) 的 Microsoft Windows 2000 Server
• Microsoft Active Directory 目录服务
• Exchange Server 2003
• Microsoft Outlook Express 5 或更高版本（用于测试）

本文假定您熟悉下列主题：

• Exchange 系统管理器
• TCP/IP
• 如何配置和使用“Microsoft 网络监视器”，如何设置捕获筛选器

什么是证书？

证书有助于对双方通过公共网络建立的连接进行安全保护。证书是经过数字签名的声明，其中包含公钥和所有者的名称或证书的主题。证书也由颁发主体或证书颁发机构 (CA) 签名。如果 CA 在证书上签名，则 CA 确认与该证书的公钥相关的私钥归证书中指定的用户所有。

证书提供了一种机制，用来在公钥与拥有对应私钥的实体之间建立关系。大多数证书基于“国际电信联盟电信标准化分部”(ITU-T) X.509 版本 3 的标准。

您可以使用证书执行以下任务：

• 在两名用户或两台计算机之间提供增强了安全的通信，以帮助防止他人在未经授权的情况下查看传输的邮件或文件内容。
• 对电子交换（如文件传输或邮件）进行数字签名，以验证它在传输过程中是否未被更改。
• 验证用户的身份或计算机的身份。
• 对存储系统（如硬盘或磁带）中的数据进行加密。
• 证明诸如设备驱动程序的文件已经过批准，并且未在测试过程与安装过程之间进行过更改。

通常，证书使用 .cer 扩展名，它的属性与计算机上其他文件的属性相同。一般说来，证书驻留在计算机的证书存储区。Windows 2000 包含来自多个 X.509 版本 3 公共 CA（如 VeriSign、Thawte 和 SecureNet）的证书。Windows 2000 也有内置的“证书服务器”服务，它与 X.509 版本 3 兼容。“证书服务器”服务允许您创建自己的 CA，并分发既在您的组织内使用也由外部客户端或计算机使用的证书。在部署证书时，此功能给您带来了一定的灵活性。

如何在虚拟服务器中使用证书

邮局协议版本 3 虚拟服务器和 Internet 消息访问协议版本 4 虚拟服务器

POP3 虚拟服务器和 IMAP4 虚拟服务器提供 POP3 客户端或 IMAP4 客户端（如 Microsoft Outlook Express）从 Exchange Server 2003 计算机获取电子邮件所需的服务。如果连接速度非常缓慢，并且用户不需要 Outlook 客户端程序的完整功能，您可能希望使用 POP3 或 IMAP4 从 Exchange Server 2003 获取电子邮件。

不过，POP3 和 IMAP4 使用明文发送邮件和进行身份验证。如果向 POP3 虚拟服务器或 IMAP4 虚拟服务器添加证书，则可提供“安全套接字层”(SSL) 加密。在使用 SSL 加密时，身份验证序列和邮件正文在通过公共网络传输的整个过程中都会经过加密。

简单邮件传输协议虚拟服务器

SMTP 虚拟服务器独立提供或与 SMTP 连接器协同提供下列服务：

• 收集邮件、向外部 SMTP 服务器发送邮件、接收来自 SMTP 服务器的邮件。
• 在 Exchange Server 路由组之间路由邮件。
• 接收来自 POP3/IMAP4 客户端的邮件。

您可能无法通过使用 Exchange SMTP 连接器和 SSL 加密来配置通过外部域发送和接收邮件的 SMTP 虚拟服务器。Internet 上的大多数 SMTP 服务器不支持 SSL 加密；不过，如果使用 SMTP 作为 POP3 和 IMAP4 电子邮件发送机制，则必须对这些事务加密。如果已经为 POP3 或 IMAP4 电子邮件收集过程配置了 SSL，则更是如此。

Microsoft 建议您创建两个单独的 SMTP 虚拟服务器用于 Exchange Server 路由组和 POP3 及 IMAP4 电子邮件发送。如果为这两个虚拟服务器配置证书和 SSL 加密，则可使用默认的 SMTP 虚拟服务器通过 SMTP 连接器连接到外部域。

超文本传输协议虚拟服务器

通常，您在“超文本传输协议”(HTTP) 虚拟服务器中使用证书为使用 Microsoft Outlook Web Access (OWA) 检索电子邮件的用户提供支持。为此，最好获得第三方证书。有了第三方证书，用户即可从公共计算机（例如网吧中的计算机）连接到他们的邮箱。

网络新闻传输协议虚拟服务器

如果符合以下条件，则可在 NNTP 虚拟服务器中使用证书：

• 您的客户端使用 NNTP 连接到 Exchange Server 2003 公用文件夹。
• 您使用 NNTP 在组织之间复制公用文件夹。

通常，与 Usenet 新闻组服务器的连接不支持身份验证或加密。如果在 NNTP 中使用证书，则必须为此目的创建另一个 NNTP 虚拟服务器。

如何选择证书源

当您获取要在虚拟服务器中使用的证书时，您有三个选择：

• 您可以从外部 CA 购买单个证书。
• 您可以成为外部 CA 的从属 CA。
• 您可以实现和维护自己的根 CA 结构。

您可能需要组合使用上述方法。例如，您可以创建自己的 CA 结构，并从外部 CA 购买单个证书。

如何从外部证书颁发机构购买证书

您可以向外部 CA（例如，VeriSign 或 Thawte）申请随 Windows 2000 安装的某个根证书验证的证书。如果符合以下条件，则可从外部 CA 购买单个证书：

• 您希望向一般的 Internet 用户提供增强型安全连接（例如，在电子商务环境中）。
• 您希望支持必须从公共计算机（例如，网吧中的计算机）进行连接的用户。
• 您不能或不希望支持自己的 CA 环境。

通常，证书成本大约600 美元起，这使它成为获取一个证书最便宜的方式。例如，如果您按此方式购买一个证书，那么所有员工都能从运行 Windows 和 Internet Explorer 4.0 及更高版本的任何计算机通过增强型安全连接访问他们的邮箱。

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页12 3 下一页

上一篇：设置Exchange 2003 OWA 基于窗体身份验证的登录页   下一篇：Exchange 服务器上使用Symantec AntiVirus企业版实时防护的最佳经验

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】