Exchange 2010 中的 TLS 功能及相關術語

適用版本： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間： 2014-06-18

Microsoft Exchange Server 2010 提供管理功能及其他增強功能，可改善傳輸層安全性 (TLS) 的整體管理。使用此功能時，需要了解一些 TLS 相關功能。部分術語及概念適用於多個 TLS 相關功能。在本主題中，每個功能都提供了簡短說明，可協助您了解 TLS 及網域安全性功能集的部分相關差異及一般術語：

• **傳輸層安全性   **TLS 是標準的通訊協定，用以提供網際網路或內部網路的安全 Web 通訊。它可讓用戶端驗證伺服器，或選擇性地讓伺服器驗證用戶端。它也藉由加密通訊，提供了安全的通道。TLS 是最新版本的安全通訊端層 (SSL) 通訊協定。

• 相互 TLS   相互 TLS 驗證與 TLS 不同，因為 TLS 通常會經過部署。一般而言，部署 TLS 後，TLS 只會以加密形式提供機密性。傳送端與接收端之間不會進行任何驗證。除了這種類型的部署之外，有時候部署 TLS 後，只會驗證接收伺服器。這類 TLS 部署常見於實作 TLS 的 HTTP。這種只驗證接收伺服器的實作就是 SSL。

  利用相互 TLS 驗證，每部伺服器均可透過驗證另一部伺服器所提供的憑證，來確認該伺服器的身分。在此情況下，若郵件是在 Exchange 2010 環境中透過驗證的連線接收自外部網域，則 MicrosoftOutlook 將會顯示「安全的網域」圖示。

• 網域安全性   網域安全性是一組功能，例如憑證管理、連接器功能，以及使相互 TLS 功能成為可管理及有用技術的 Outlook 用戶端行為。

• Opportunistic TLS   在 Exchange 2010 中，安裝程式會建立自行簽署憑證。預設會啟用 TLS。這可讓任何傳送系統將輸入 SMTP 工作階段加密至 Exchange。依據預設，Exchange 2010 也會針對所有遠端連線嘗試 TLS。

• 直接信任   預設會驗證及加密 Edge Transport Server 與 Hub Transport Server 之間的所有流量。而且，驗證及加密的基礎機制為相互 TLS。Exchange 2010 不使用 X.509 驗證，改為使用直接信任來驗證憑證。直接信任表示 Active Directory 或 Active Directory 輕量型目錄服務 (AD LDS) 中所顯示的憑證會驗證該憑證。Active Directory 可視為是一種受信任的儲存機制。使用直接信任時，憑證是自行簽署或由憑證授權單位簽署都無所謂。當您向 Exchange 組織訂閱 Edge Transport Server 時，Edge 訂閱會在 Active Directory 中發佈 Edge Transport Server 憑證，供 Hub Transport Server 進行驗證。MicrosoftExchange EdgeSync 服務會使用集線傳輸伺服器憑證集來更新 AD LDS，供邊際傳輸伺服器進行驗證。

 © 2010 Microsoft Corporation. 著作權所有，並保留一切權利。