了解域安全性
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2016-11-28
域安全性指 Microsoft Exchange Server 2010 和 Microsoft Office Outlook 2007 中的功能集,它提供一种成本相对较低的备选安全解决方案,可代替 S/MIME 或其他邮件级安全解决方案。域安全性功能集的目的是为管理员提供一种管理与业务合作伙伴的通过 Internet 的受保护邮件路径的方法。配置这些受保护的邮件路径后,成功从通过身份验证的发件人经由受保护的路径传递的邮件在 Outlook 和 Microsoft Office Outlook Web App 界面中对用户显示为“域安全”。
域安全性使用相互传输层安全性 (TLS) 身份验证提供基于会话的身份验证和加密。相互 TLS 身份验证与通常实现的 TLS 不同。通常,实现 TLS 时,客户端通过验证服务器的证书来验证连接是否安全连接到了预期的服务器。这是 TLS 协商的一部分。在此方案中,客户端在传输数据前对服务器进行身份验证。但是,服务器不对与客户端的会话进行身份验证。
使用相互 TLS 身份验证,每个服务器通过验证其他服务器提供的证书来验证与该其他服务器的连接。如果在 Exchange 2010 环境中通过已验证的连接从外部域中接收邮件,则 Outlook 2007 将显示“域安全”图标。
.gif "重要") 重要说明: |
|---|
| 本主题中不提供关于加密和证书技术及概念的详细说明。部署使用加密和数字证书的任何安全解决方案之前,建议您首先了解信任、身份验证、加密、公钥和私钥交换的基本概念,因为它们与加密相关。有关详细信息,请参阅本主题结尾部分列出的参考信息。 |
要查找与管理传输服务器相关的管理任务吗?请参阅管理传输服务器。
TLS 证书的验证
若要了解任何相互 TLS 传输的整体安全性和因此而产生的可信度,必须了解如何对基本 TLS 证书进行验证。
Exchange 2010 包括一组用于创建、请求和管理 TLS 证书的 cmdlet。默认情况下,这些证书为自行签署式证书。自签名证书是由其创建者签署的证书。在 Exchange 2010 中,自行签署式证书由运行 Microsoft Exchange 的计算机通过使用基本 Microsoft Windows 加密 API (CAPI) 创建。因为这些证书是自行签署的,所以产生的证书的可信度低于由公钥基础结构 (PKI) 或第三方证书颁发机构 (CA) 生成的证书。因此,建议将自行签署式证书仅用于内部邮件。另外,如果您与之交换域安全电子邮件的接收组织手动将您的自行签署式证书添加到每个入站边缘传输服务器的受信任根证书存储中,则自行签署式证书将显式受信任。
对于遍历 Internet 的连接,最好的做法是由 PKI 或第三方 CA 生成 TLS 证书。由受信任的 PKI 或第三方 CA 生成 TLS 密钥可减少对域安全性的整体管理。有关与受信任证书和域安全性相关的选项的详细信息,请参阅在边缘传输服务器上使用 PKI 以确保域安全。
可以使用 Exchange 2010 证书 cmdlet 为自己的 PKI 或第三方 CA 生成证书请求。有关详细信息,请参阅了解 TLS 证书。
有关如何配置域安全性的详细信息,请参阅下列主题:
使用 Exchange 托管服务
邮件级别的安全性由 Microsoft Exchange 托管服务增强,也可以作为其中的一项服务使用。
Exchange 托管服务是一组服务,包含四种不同的托管服务:
托管筛选,帮助组织防御以电子邮件为载体的恶意软件
托管存档,帮助组织满足合规性的保留要求
托管加密,帮助组织对数据进行加密以保持机密性
托管连续性,帮助组织在发生紧急情况期间和之后仍然能够访问电子邮件
这些服务与在内部管理的所有本地 Exchange 服务器或通过服务提供商提供的托管 Exchange 电子邮件服务相集成。有关 Exchange 托管服务的详细信息,请参阅 Microsoft Exchange Hosted Services(英文网页)。
资源
Housley、Russ 和 Tim Polk。规划 PKI:部署公钥基础结构的最佳实践指南。纽约:John Wiley & Son, Inc.,2001。
Adams、Carlisle 和 Steve Lloyd。应用密码学:协议、算法和 C 源代码,第二版。纽约:John Wiley & Son, Inc.,1996。
© 2010 Microsoft Corporation。保留所有权利。