Exchange 2007 Server 中的憑證使用
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2008-05-19
Microsoft Exchange Server 2007 可使用憑證確保多種電子郵件通訊路徑的安全性。本主題將逐一介紹 Exchange 2007 中的憑證使用方式。主題中包括下列說明:
Exchange 2007 如何使用憑證。
如何判斷何時應購買協力廠商公開憑證授權單位 (CA) 所發行的憑證,何時只需使用預設、自行簽署的憑證。
Exchange 2007 元件如何使用憑證屬性,以及憑證內容與 X.509 憑證延伸欄位之間的關係。
憑證的信任與驗證。
如何建立、匯入及啟用 Exchange 2007 憑證。
Exchange 元件如何從 [個人] 電腦儲存區中選取憑證。
本主題中的各節均包含 Exchange 2007 憑證相關文件的參考資料與連結。
聲明 此內容多節錄自 Microsoft 內部支援工程師 Stuart Presley 所收集及提供的筆記與文件。
目錄
使用憑證來加密或驗證工作階段的 Exchange 2007 元件
如何判斷何時應使用公開 CA 所發行的憑證,何時應使用自行簽署憑證
了解憑證屬性與 Exchange 2007 使用憑證屬性的方式
憑證的信任與驗證
建立、匯入及啟用憑證
憑證選擇
相關資訊
使用憑證來加密或驗證工作階段的 Exchange 2007 元件
以 HTTPS、SMTP、POP 與 IMAP 等通訊協定進行通訊時,Exchange 2007 會使用 X.509 憑證來交涉所需的安全「傳輸層安全性」(TLS) 與「安全通訊端層」(SSL) 傳輸通道。
TLS 是網際網路工程任務推動小組 (IETF) 所開發的標準通訊協定,旨在協助於透過網路進行通訊的兩個應用程式之間維護隱私權與安全性。TLS 加密可進行通訊,並讓用戶端驗證伺服器,且選擇性地讓伺服器驗證用戶端。TLS 以 SSL 通訊協定為基礎,提供超越 SSL 通訊協定的安全性。SSL 早先是由 Netscape 所開發。這兩種通訊協定在功能上相同。大部分的執行可同時支援這兩種通訊協定,以與僅支援 SSL 功能的舊版用戶端達到舊版相容性。
受 TLS 保護的通訊可僅作為機密性 (加密) 用途,亦可同時作為機密性與驗證用途。X.509 憑證可經由自行簽署 (亦稱為自行發行),或由 X.509 CA 所發行。X.509 CA 可以是發行憑證的協力廠商公開憑證授權單位,也可以是組織內部署的公開金鑰基礎結構 (PKI)。在本主題中,除非另有說明,否則這兩種解決方案通稱憑證授權單位 (CA)。協力廠商公開 CA 則簡稱公開 CA。
下列 Exchange 2007 元件會使用憑證來加密或驗證工作階段:
SMTP 憑證會用於在組織之間進行加密與驗證,以達到網域安全性。憑證會用於在 Hub Transport Server 與 Edge Transport Server 之間進行直接信任連線。憑證會用於對 Hub Transport Server 之間的 SMTP 工作階段進行加密。在 Exchange 2007 中,直接信任是驗證功能,Active Directory 目錄服務或 Active Directory 應用程式模式 (ADAM) 目錄服務中若有憑證,就會驗證該憑證。Active Directory 被視為是信任儲存機制。憑證亦會用於組織之間的機會性 TLS 工作階段。如需相關資訊,請參閱 Exchange 2007 中的 TLS 功能及相關術語。
EdgeSync 同步處理 Exchange 2007 所產生的自行簽署憑證會在 Microsoft Exchange EdgeSync 服務將內部 Active Directory 中的資料複寫至 Edge Transport Server 上的 ADAM 執行個體後,用於 Edge Transport Server 上的 ADAM 執行個體與 Active Directory 伺服器之間的 LDAP 通訊工作階段加密。自行簽署的憑證是由原建立者簽署的憑證。Microsoft Exchange EdgeSync 服務是一項資料同步處理服務,它會定期 Active Directory 中的組態資料複寫至訂閱的 Edge Transport Server。如需相關資訊,請參閱了解 EdgeSync 同步處理程序。
POP3 與 IMAP4 憑證會用於對郵局通訊協定第 3 版 (POP3) 和網際網路訊息存取通訊協定 4rev1 版 (IMAP4) 用戶端與 Exchange 伺服器之間的工作階段進行驗證及加密。如需相關資訊,請參閱管理 POP3 及 IMAP4 安全性。
整合通訊 憑證會用於對連到 Hub Transport Server、整合通訊 (UM) IP 閘道與 Microsoft Office Communications Server 2007 的 SMTP 工作階段進行加密。如需相關資訊,請參閱了解整合通訊 VoIP 安全性。
自動探索 憑證會用於對用戶端與 Client Access Server 之間的 HTTP 路徑進行加密。如需相關資訊,請參閱 White Paper: Exchange 2007 Autodiscover Service (英文)。
C用戶端存取應用程式 憑證會用於對 Client Access Server 與各種 HTTP 用戶端 (如 Outlook 無所不在、Microsoft Outlook Web Access 與支援 Microsoft Exchange ActiveSync 的裝置) 之間的路徑進行加密。如需相關資訊,請參閱管理用戶端存取安全性。
如需 Exchange 2007 中各個資料路徑之加密及驗證方式的相關詳細資訊,請參閱資料路徑安全性參照。
回到頁首
如何判斷何時應使用公開 CA 所發行的憑證,何時應使用自行簽署憑證
本節旨在快速說明 Exchange 2007 使用憑證的方式。閱讀本節後您應會了解,根據已啟用的 Exchange 元件以及所要支援的用戶端,您必須向公開 CA 購買何種憑證。本節也針對後續更具技術性的內容提供一般內容。
您必須了解的是,本節的用意是為了讓您快速判斷您對公開 CA 的整體憑證需求,因此其內容必須簡單扼要。為求簡短,說明 Exchange 2007 中的憑證使用情形時,直接套用了憑證和相關技術的許多概念。如果您不了解本節中的概念,請務必閱讀本主題的其餘內容和參考文件。
一般而言,任何使用 Kerberos、直接信任或 NTLM 驗證的 Exchange 2007 元件,均可使用自行簽署憑證進行加密。本主題將這樣的元件稱為內部 Exchange 2007 元件。之所以稱為「內部」,是因為資料路徑位於不同的 Exchange 2007 Server 之間,以及 Active Directory 所定義的公司網路內。
若 Exchange 元件要求驗證與加密,而且使用者會由公司防火牆外存取 Exchange 元件,則建議您部署公開 CA 所發行的憑證。例如,Client Access server role 所支援的各種用戶端 (如 Exchange ActiveSync、POP3、IMAP4 與 Outlook 無所不在) 皆應使用公開 CA 所發行的憑證來保護。本主題將這樣的元件稱為外部 Exchange 2007 元件。之所以稱為「外部」,是因為用戶端與 Exchange 2007 Server 之間的資料路徑穿越公司防火牆,延伸至網際網路中。
內部元件使用自行簽署憑證
如前所述,Exchange 2007 中有許多元件皆會使用憑證。一般而言,所有受憑證保護的內部 Exchange 資料路徑皆不需要使用公開 CA 所發行的憑證。
所有內部 SMTP 與 UM 流量,皆受您在執行 Exchange 2007 Server 安裝程式時所安裝的自行簽署憑證保護。雖然您應每年使用 New-ExchangeCertificate 指令程式來更新這些憑證,但要執行預設的內部 Exchange 郵件元件,並不需要有公開 CA 所發行的憑證。
.gif "note") 附註: |
|---|
| Exchange 所建立的自行簽署憑證會在一年後過期。即使自行簽署憑證過期,仰賴預設自行簽署憑證的內部元件仍可繼續運作。不過,自行簽署憑證過期時,[事件檢視器] 中會記錄事件。最佳作法是在自行簽署憑證過期前就予以更新。 |
Exchange 2007 提供一組指令程式,來建立、要求及管理 TLS 憑證。如需這些指令程式的相關資訊,請參閱本主題稍後的憑證指令程式。依預設,這些憑證是自行簽署的。如本主題先前所說明,自行簽署的憑證是由原建立者簽署的憑證。在 Exchange 2007 中,自行簽署憑證是由執行 Microsoft Exchange 的電腦使用基礎 Windows Certificate API (CAPI) 所建立。由於憑證是自行簽署的,因此產生的憑證通常不如 CA 所產生的憑證來得可信。因此,建議您僅在下列情況於內部使用自行簽署憑證:
不同 Hub Transport Server 之間的 SMTP 工作階段:憑證僅會用於 SMTP 工作階段的加密。驗證是由 Kerberos 通訊協定提供。
Hub Transport Server 與 Edge Transport Server 之間的工作階段:憑證會用於 STMP 工作階段加密與直接信任驗證。
Edge Transport Server 與 Active Directory 之間的 EdgeSync 同步處理:憑證會用於在 Microsoft Exchange EdgeSync 服務將內部 Active Directory 中的資料複寫至 Edge Transport Server 上的 ADAM 執行個體後,對 Edge Transport Server 上的 ADAM 執行個體與內部 Active Directory 伺服器之間的 LDAP 通訊工作階段進行加密。
整合通訊的通訊:憑證會用於對 UM 伺服器與 UM IP 閘道、IP 專用交換機 (PBX) 和執行 Office Communications Server 2007 電腦之間的工作階段初始通訊協定 (SIP) 與即時傳輸通訊協定 (RTP) 流量進行加密。憑證亦會在 UM 伺服器提交語音信箱或傳真訊息至 Hub Transport Server 時,用於加密 SMTP 流量。
僅供內部用戶端存取的 Client Access Server。
外部用戶端存取 Exchange 時需要使用公開 CA 所發行的憑證
內部 Exchange 元件可仰賴自行簽署憑證,因為這些憑證不會用於驗證。多數 Exchange 元件的驗證是由 Kerberos 或 NTLM 提供。Edge Transport Server 與 Hub Transport Server 之間的通訊會使用直接信任驗證。此驗證是靠一個憑證,以及 Edge Transport Server 儲存在 Active Directory 這個受信任儲存區中的公開金鑰來達到。否則就會使用自行簽署憑證提供暫時金鑰,來將 Exchange 元件之間的資料路徑加密。
不過,外部用戶端從網際網路存取 Exchange 所在的網路時,就需要使用傳統憑證信任驗證。最佳作法是使用公開 CA 所發行的憑證進行信任驗證。事實上,需要使用憑證驗證時,使用自行簽署憑證並非最佳作法,強烈建議您不要使用。對於下列作業,建議您使用公開 CA 所發行的憑證:
POP3 與 IMAP4 用戶端對 Exchange 的存取
Outlook Web Access
Outlook 無所不在
Exchange ActiveSync
自動探索
網域安全性
對於上述作業的最佳作法是,使用預設受所有用戶端信任的公開 CA。
使用 New-ExchangeCertificate 指令程式,可根據將為您發行憑證的協力廠商公開 CA 的規格,產生憑證要求。
如需相關資訊,請參閱下列主題:
Exchange 2007 心得 - 使用協力廠商 CA 產生憑證
附註:Wiki 和部落格的內容及其 URL 如有變更恕不另行通知。
本節的其餘內容將說明如何判斷必須購買的公開憑證類型,以及是否需要購買多個憑證來保護您組織中存取 Exchange 2007 的用戶端。
判斷您的部署需要公開 CA 所發行的何種憑證及其數量
請根據下列因素,為您的組織適當選取公開 CA 所發行的憑證:
用戶端對於憑證中萬用字元名稱的支援 問自己一個問題:我會需要支援何種用戶端?如前所述,本文中的「用戶端」是指透過網際網路存取 Exchange 的用戶端。
您組織的命名空間 網際網路對向的網際網路資訊服務 (IIS) 命名空間的設定為何?
您的憑證來源 您將從何處取得憑證?您所選取的公開 CA 是否支援在 [主體] 或 [主體別名] (SAN) 欄位中使用萬用字元。若否,是否支援使用 SAN?
下列各節將進一步檢視這些因素。
用戶端對於憑證中萬用字元名稱的支援
X.509 憑證的主體或 SAN 延伸中可能會使用萬用字元名稱。如需萬用字元名稱的相關資訊,請參閱本主題稍後了解憑證屬性與 Exchange 2007 使用憑證屬性的方式中的<CertificateDomains>。
在判斷您組織將要支援的用戶端後,建議您判斷用戶端是否支援在所連接的伺服器憑證中使用萬用字元名稱。
如果您的用戶端支援在憑證中使用萬用字元名稱,則您組織整體的憑證規劃將可大幅簡化。如果您所有的用戶端皆支援在憑證中使用萬用字元名稱,而您的組織使用單一網域名稱,即無需在憑證部署策略中考慮命名空間規劃。此時您可以使用萬用字元建立支援您命名空間的單一憑證。例如,如果執行 Outlook Web Access 的用戶端使用 mail.contoso.com/owa 存取其郵件,而 POP3 用戶端使用 pop.contoso.com 存取其郵件,則具有萬用字元主體 *.contoso.com 的單一憑證,將可同時支援這兩種用戶端。
以下是支援在憑證中使用萬用字元名稱的 Microsoft 用戶端:
Outlook
附註:在跨執行 Client Access role 的 Exchange 伺服器部署萬用字元憑證時,需要對自動探索設定進行一些設定,才能讓 Outlook 2007 用戶端成功連線。若要深入了解此問題並解決方式,請參閱萬用字元憑證導致 Outlook 無所不在的用戶端連線問題。 Internet Explorer (Outlook Web Access)
Exchange Edge Transport Server (網域安全性)
.gif "important") 重要事項: |
|---|
| 執行 Windows Mobile 5.0 的用戶端不支援在對伺服器的加密通道中,於憑證中使用萬用字元名稱。 |
如果您組織所支援的用戶端不支援在伺服器憑證中使用萬用字元名稱,而您必須支援多個用戶端命名空間,則必須執行下列其中一項作業
購買利用 SAN 延伸包含多個名稱 (如
mail.contoso.com、pop.contoso.com與mobile.contoso.com) 的憑證。為命名空間中會讓用戶端連接的每個實體各購買一個憑證。
規劃您組織的命名空間
所有用戶端進行連接時都需要有一個 URL 或網域全名 (FQDN) 作為目標。用戶端所連接的每個路徑,都必須有一個相關聯的有效憑證,此憑證包含用戶端所連接主機的主機名稱、NetBIOS 名稱、FQDB 或一般名稱。決定要在憑證中納入哪些名稱的過程,稱為「命名空間規劃」。
一般而言,為支援多種不同用戶端、橫跨多個地區而且涵蓋多部伺服器的大型組織進行命名空間規劃,遠比為小型組織規劃命名空間複雜得多。
您必須了解憑證命名空間規劃,才能得知究竟要在憑證的 SAN 延伸中納入哪些主機名稱,才能提高 Exchange 2007 輸入連線的安全性。
如需相關資訊,請參閱了解 Exchange Server 2007 的命名空間規劃。
從何處取得憑證
如前所述,若是外部用戶端存取,建議您向公開協力廠商 CA 購買憑證。
評估要向哪一個憑證授權單位購買時,請考慮下列準則:
該 CA 是否允許在憑證中使用萬用字元名稱?如果您的用戶端可以支援在憑證中使用萬用字元名稱,則向支援萬用字元名稱的 CA 購買憑證,將是最簡單安全的用戶端部署方式。
該 CA 是否支援 SAN 延伸?若下列條件成立,則應使用支援透過 SAN 使用多個名稱的憑證:
您必須支援的用戶端,不支援在憑證中使用萬用字元名稱。
您的用戶端必須連接到多個主機路徑。
Microsoft 目前與多家公開 CA 合作提供整合通訊憑證。如需支援整合通訊憑證之 CA 的最新清單,請參閱 Microsoft 知識庫文章 929395 Exchange 2007 與 Communications Server 2007 的整合通訊憑證合作廠商 (英文)。
該 CA 是否提供高層級的驗證檢查?有些 CA 十分昂貴。有些 CA 的憑證每年需花費數千美元。由於您必須仰賴此憑證的完整性來驗證流入您組織的輸入流量,因此建議您不要單就成本考慮來選取公開 CA。請先審慎評估並比較各 CA 所提供的服務與 CA 的信譽,再做決定。
回到頁首
了解憑證屬性與 Exchange 2007 使用憑證屬性的方式
了解各項憑證屬性,將有助於您了解 Exchange 使用憑證的方式。這些知識將可讓您更順利地規劃 Exchange 組織所需的憑證。同時,這對您進行問題的疑難排解也有所助益。
X.509 憑證有兩種屬性。
憑證欄位是 X.509 憑證本身已簽署資料內的屬性。這些欄位的完整性受到簽章的保護,若未重新簽署或重新發行憑證,即無法變更欄位值。
憑證內容是用於放置憑證或私密金鑰之中繼資料的屬性。有些內容是憑證或私密金鑰原本即有的,例如憑證的指紋。不過,有許多內容並不需要重新簽署憑證即可改變。
例如,Enable-ExchangeCertificate 指令程式可讓您在建立憑證後,將服務新增至憑證的內容。您可以啟用供 IIS (如 Outlook Web Access 或 Exchange ActiveSync)、SMTP (如直接信任或網域安全性)、IMAP、POP 與整合通訊使用的憑證。為特定服務啟用憑證會使憑證內容更新。如需相關資訊,請參閱 Enable-ExchangeCertificate。
您可以對特定憑證執行含有 |FL 引數的 Get-ExchangeCertificate 指令程式,以檢視這些屬性。如果您執行的是 Exchange 2007 RTM,則必須執行含有 |FL* 引數的指令程式,才能顯示所有的屬性資料。
Get-ExchangeCertificate 指令程式輸出中所指定的某些欄位與內容,會對應至可使用 Microsoft Management Console (MMC) 的 [憑證管理員] 加以檢視的 X.509 延伸欄位。如需 [憑證管理員] 的相關資訊,請參閱如何將憑證管理員新增至 Microsoft Management Console。如需 Get-ExchangeCertificate 指令程式的相關資訊,請參閱 Get-ExchangeCertificate。
憑證欄位
如前所述,憑證欄位是 X.509 憑證本身已簽署資料內的屬性。本節說明 Microsoft Exchange 服務所使用的憑證欄位,以及 Get-ExchangeCertificate 指令程式輸出中所顯示的憑證欄位。
其中有些欄位同時也是可在您透過 New-ExchangeCertificate 指令程式建立新憑證或憑證要求時設定的參數。如需 New-ExchangeCertificate 指令程式的相關資訊,請參閱 New-ExchangeCertificate。
本節中的每個憑證欄位都是根據 Get-ExchangeCertificate 指令程式的輸出所列出。本節中的每個 Exchange 憑證欄位名稱均有一個對應的 X.509 憑證延伸名稱。
Issuer
此欄位包含用以識別憑證簽發者的一般名稱。在安裝期間由 Exchange 所建立的自行簽署憑證,或由 New-ExchangeCertificate 指令程式所建立的自行簽署憑證會顯示 cn=hostname,其中 hostname 是本機伺服器的名稱。
由 CA 所發行的憑證通常會在 Issuer 欄位中顯示 CA 的完整一般名稱。
X.509 憑證延伸名稱同樣也是 Issuer。
Issuer 欄位並沒有可在 New-ExchangeCertificate 指令程式中設定的對應參數。Issuer 欄位是由發行憑證的實體指定。
主旨
此欄位可識別憑證的主體。Subject 是一個 X.500 字串,通常代表用以存取使用該憑證之服務的單一名稱。使用 New-ExchangeCertificate 指令程式建立憑證時,若不明確提供主體,則 Subject 將是您執行 New-ExchangeCertificate 指令程式時列於 DomainName 參數中的第一個值。可能出現的 X.500 欄位如下:
C = 國家
ST = 州
L = 地點
O = 組織
OU = 組織單位
CN = 一般名稱
針對協力廠商 CA 產生憑證要求時,必須要有上述部分欄位。如需 Subject 欄位的詳細說明,請參閱建立 TLS 的憑證或憑證要求。
如果您在 Exchange 之前執行 Microsoft Internet Security and Acceleration (ISA) Server 2006 進行橋接,請務必閱讀部落格文章具有多個 SAN 項目的憑證可能會中斷 ISA Server 網頁發行 (英文),以取得主體名稱與 ISA Server 行為的相關資訊。
| 附註: |
|---|
| Wiki 和部落格的內容及其 URL 如有變更恕不另行通知。 |
當 Exchange 產生不含使用者引數的自行簽署憑證時,它所建立的憑證將會包含主體名稱 CN=hostname。
X.509 憑證延伸名稱同樣也是 Subject。
設定 Subject 欄位的方法是在 New-ExchangeCertificate 指令程式中指定 SubjectName 參數。
CertificateDomains
CertificateDomains 欄位可識別所有與某憑證相關聯的 DNS 網域名稱。DNS 網域名稱可位於主體的一般名稱 (cn=) 屬性或是憑證的 SAN 延伸中。Get-ExchangeCertificate 指令程式的輸出會顯示 Subject 欄位中的網域以及 SAN 中所有網域的聯集。
CertificateDomains 欄位中的值可能包含用以存取伺服器的主機名稱或 FQDN。若要使用憑證,用戶端用以連接至伺服器的 FQDN 必須出現在憑證的 CertificateDomains 欄位中。
例如,如果用戶端使用 POP3 並以 mail.fourthcofee.com 作為伺服器名稱連接至伺服器,則與 POP3 設定相關聯的憑證可以在其 CertificateDomains 欄位中包含 mail.fourthcofee.com。
您也可能會發現憑證具有 *.fourthcofee.com 之類的萬用字元名稱。這是可接受的網域。不過請注意,有些舊版用戶端與行動裝置並不支援在憑證上使用萬用字元名稱,因此可能不支援萬用字元網域。
| 附註: |
|---|
| SAN 欄位不會直接透過 Exchange 顯示。您只能在 MMC 的 [憑證管理員] 或是透過網際網路資訊服務 (IIS) 管理員來檢視。繫結至網站的憑證 (例如 IIS 用於 Outlook Web Access、Exchange ActiveSync 或自動探索的憑證) 亦可在 IIS 管理員中檢視。 |
如需如何在憑證中使用 SAN 與萬用字元名稱的詳細說明,請參閱建立 TLS 的憑證或憑證要求。此外,Exchange 團隊部落格 Exchange 2007 心得 - 使用協力廠商 CA 產生憑證 (英文) 也針對如何建立具有多個 SAN 的憑證要求提供了實用建議。
| 附註: |
|---|
| Wiki 和部落格的內容及其 URL 如有變更恕不另行通知。 |
X.509 憑證延伸名稱為 Subject Alternative Name,但如前所述,Get-ExchangeCertificate 指令程式的輸出也會將 Subject 憑證延伸中所含的值,新增至 CertificateDomains 欄位的名稱清單中。
設定 CertificateDomains 欄位的方法是指定 New-ExchangeCertificate 指令程式的 DomainName 與 Subject 參數。
NotBefore 與 NotAfter
NotBefore 與 NotAfter 欄位中的值,代表可有效使用憑證的日期範圍。如果目前的日期晚於 NotAfter 日期,憑證即視為過期。Microsoft Exchange 仍可使用過期的憑證,但用戶端會產生警告,而伺服器會在事件日誌中記錄適當的事件。
對應至 NotBefore 值的 X.509 憑證延伸名稱是 Valid from。對應至 NotAfter 的 X.509 憑證延伸名稱是 Valid to。
NotBefore 與 NotAfter 欄位並沒有可在 New-ExchangeCertificate 指令程式中設定的對應參數。這些欄位是由發行憑證的實體所定義。由 Exchange 安裝程式或 New-ExchangeCertificate 指令程式所產生的自行簽署憑證有效期限為一年。
CertificateRequest
只有仍處於要求狀態的憑證才會出現此值。憑證要求並非有效的 X.509 憑證,因此 Exchange 不會加以使用。
啟用 CertificateRequest 欄位的方法是指定 New-ExchangeCertificate 指令程式的 GenerateRequest 切換參數。
憑證內容
如前所述,憑證內容是用於放置憑證或私密金鑰之中繼資料的屬性。有些內容是憑證或私密金鑰原本即有的 (例如憑證的指紋),但有許多內容並不需要重新簽署憑證即可改變。
除了 Thumbprint 內容之外,沒有 Exchange 憑證內容會對應至 X.509 憑證延伸。
本節說明憑證內容。
IsSelfSigned
IsSelfSigned 內容指出憑證是否為自行簽署憑證。自行簽署憑證通常是根憑證。此憑證在憑證鏈結中沒有其他憑證。在 Exchange 中,自行簽署憑證通常是指下列種類的憑證:
當 Exchange 安裝所在的伺服器上沒有合格憑證存在時所產生的憑證。
執行 New-ExchangeCertificate 指令程式後所產生的憑證。
安裝 Hub Transport、Edge Transport、Unified Messaging 或 Client Access server role 時,Exchange 安裝程式會產生自行簽署憑證。如果主機電腦上的 [個人] 憑證儲存區中有有效憑證,則會使用現有憑證,而不會使用 Exchange 安裝程式所產生的自行簽署憑證。有效值為 True 或 False。
RootCAType
RootCAType 內容識別了發行憑證之 CA 的類型。如果 IsSelfSigned 參數設為 True,則RootCAType 內容的值應為 None。否則,憑證可能會在憑證選擇程序中造成意外的結果。其他可能的值如下所示:
Registry已手動安裝在憑證儲存區中的內部私密 PKI 根 CA。ThirdParty公開協力廠商根 CA。GroupPolicy已使用 [群組原則] 部署的內部私密 PKI 根 CA。Enterprise已使用 Active Directory 部署的內部私密 PKI 根 CA。UnknownExchange 無法判斷安裝的憑證類型。
了解根 CA 憑證安裝在電腦上的方式,將可更順利地診斷不一致的信任原則。這些不一致可能會造成憑證僅在部分伺服器上進行驗證。
例如,Registry 值表示已有人在某伺服器上手動安裝憑證。在此情況下,如果組織中的其他伺服器並未安裝該憑證,即可能出現不一致的情況。建議您使用 [群組原則] 或 Active Directory 將憑證散發給所有電腦。
Services
Services 內容識別了此憑證所適用的服務。有效值為 SMTP、POP、IMAP、UM 與 IIS。
設定 Services 欄位中之值的方法是在 Enable-ExchangeCertificate 指令程式上指定 Services 參數。如需相關資訊,請參閱 Enable-ExchangeCertificate。
狀態
Status 內容識別了憑證是否有效。Status 欄位在您進行憑證問題的疑難排解時很有幫助。如果特定憑證的 Status 值不是 Valid,Exchange Server 即不會將該憑證用於任何服務。Status 內容的值包括:
Unknown 此狀態通常表示因為憑證撤銷清單 (CRL) 無法使用或無法供此伺服器連接,所以無法確認憑證的狀態。請確定電腦可連接至憑證撤銷授權單位。如需相關資訊,請參閱如何設定 WinHTTP 的 Proxy 設定。
Valid 憑證正常運作。
Revoked CRL 指出此憑證已遭撤銷。您必須產生新憑證。
DateInvalid 此狀態表示系統時間不正確、憑證已過期,或簽署檔案的系統時間不正確。請確認下列條件均符合:
本機電腦時鐘正確。
憑證未過期。
傳送端的系統時鐘正確。
如果憑證過期,您必須產生新憑證。
Untrusted 此狀態表示憑證並非經由自行簽署。不過,它是由不受本機電腦信任的 CA 所簽署。您必須將 CA 憑證新增至電腦上的 [受信任的根憑證授權單位] 儲存區。如需如何手動將憑證加入本機憑證存放區的相關資訊,請參閱 MMC 之 [憑證管理員] 的 [說明] 檔案。
Invalid 此憑證已因某些其他問題而失效,例如憑證路徑中有不受信任、無效或已撤銷的憑證。
如需疑難排解的相關資訊,請參閱下列主題:
HasPrivateKey
HasPrivateKey 內容指出已安裝的憑證是否具有私密金鑰。此內容十分重要,因為 Microsoft Exchange Transport 服務、Microsoft Exchange POP3 服務與 Microsoft Exchange IMAP4 服務不會使用不具私密金鑰的憑證。
Thumbprint
Thumbprint 內容是用以識別憑證的唯一字串。如果多部 Exchange 伺服器安裝了相同的憑證,您可以依據其指紋加以識別。相同的憑證會安裝在多部 Exchange 伺服器上,通常是因為有多部 Edge Transport Server 接收相同 FQDN (如 mail.fourthcoffee.com) 的郵件。在多個伺服器上安裝相同的憑證,遠比為每部伺服器要求新的憑證符合成本效益。不過,該憑證必須具有可匯出的私密金鑰。
Thumbprint 內容可讓您在下列指令程式中指定憑證:
對應至 Thumbprint 內容的 X.509 憑證延伸名稱,同樣也是 Thumbprint。
回到頁首
憑證的信任與驗證
憑證必須經過驗證並受信任,才能用於驗證。
若要驗證指定的 X.509 憑證,您必須信任發行憑證的根 CA。根 CA 是最受信任的 CA。其位於 CA 的頂端。根 CA 是自行簽署的憑證。在執行依賴憑證驗證的應用程式時,每個憑證的憑證鏈結必須以本機電腦之信任根容器中的憑證為結尾。信任的根容器會包含來自根 CA 的憑證。
憑證會透過 CA 鏈結至其他憑證。所謂的其他憑證可能也是由 CA 所發行,因而鏈結至 CA。這種憑證鏈結也稱為「憑證路徑」。憑證路徑中的每個憑證皆必須有效,個別憑證才會有效。此外,位於鏈結頂端的憑證,必須是受信任的根 CA。
有兩種受信任的根 CA 可用來執行仰賴憑證驗證的應用程式:協力廠商公開根 CA 與私密根 CA。
協力廠商公用根憑證授權單位
Windows、Windows Mobile 與各種作業系統都內建一組協力廠商公開根 CA。如果您信任這些協力廠商公用根 CA 所發行的憑證,則您可以驗證這些 CA 所發行的憑證。
若下列條件成立,即會自動信任:
您的組織使用預設 Windows 安裝。
您的組織中所使用的用戶端軟體與行動裝置也信任內建的協力廠商公開根 CA。
在此情況下,不需要其他的信任組態。
私密信任根憑證授權單位
私密信任根 CA 是指私密或內部 PKI 所部署的根 CA。例如,當您的組織以其本身的根憑證部署內部 PKI 時,您必須設定其他的信任組態。
一般而言,對於支援從外部連入您組織的用戶端應用程式,使用私密 PKI 所發行的憑證並不是最佳作法。
使用私密根 CA 時,您必須在所有需進行憑證驗證的裝置、用戶端與 Windows 作業系統上更新 Windows [受信任的根] 憑證儲存區。
設定信任的方式有兩種:直接根信任和交互憑證。
直接根信任
若您想要信任私密根 CA 所發行的憑證,則必須手動將該根憑證新增至執行 Windows 電腦上的 [受信任的根] 憑證儲存區。在某些情況下,您也可以將根憑證新增至行動用戶端上受信任的根儲存區。如需如何手動將憑證新增至執行 Windows 電腦上的本機憑證儲存區的相關資訊,請參閱 MMC 之 [憑證管理員] 的 [說明] 檔案。如需如何在 Windows Mobile 裝置上安裝憑證的相關資訊,請參閱如何在 Windows Mobile 裝置上安裝根憑證 (英文)。
| 重要事項: |
|---|
| 您可能無法在所有可能被使用者用來存取 Exchange 的電腦與裝置上安裝憑證。例如,有些使用者可能會嘗試從 kiosk 或朋友的電腦存取 Outlook Web Access。在此情況下,使用者會收到警告,但仍可存取郵件。而事實上,此行為也讓使用者逐漸習於忽略憑證警告,因此這並非最佳作法。使用受信任的協力廠商 CA 所發行的憑證,才是最佳作法。 |
交互憑證
當一個 CA 簽署由另一個 CA 所產生的憑證時,即會發生所謂的交互憑證。交互憑證是用來建立 PKI 之間的信任。如果您有自己的 PKI,即可以在自己的根 CA 下建立對另一方 CA 的交互憑證,而不對另一個私密 PKI 的根 CA 使用直接手動信任。在此情況下會建立信任,因為交互驗證最終還是會鏈結到您信任的根 CA。
設定憑證撤銷清單的存取
當特定的服務 (例如使用 SMTP/TLS 時的 Microsoft Exchange Transport 服務,或使用 HTTPS 時的 IIS) 擷取憑證時,該服務會驗證憑證鏈結與憑證。憑證驗證過程中,會確認許多的憑證屬性。大部份的屬性均可由本機電腦上要求憑證的應用程式來確認。例如,憑證的預定用途、憑證的到期日及類似屬性,皆可在 PKI 的範圍之外加以驗證。不過,必須由發行憑證的 CA 來確認憑證尚未撤銷的驗證。因此,大部份的 CA 都會對外公開憑證撤鎖清單 (CRL),以驗證撤銷狀態。
若要順利以憑證進行驗證,對用戶端進行驗證的服務必須可使用您所使用的 CA CRL。如果撤銷檢查失敗,驗證服務也會失敗。
您的驗證伺服器必須能夠存取外部 CA 的 CRL。
所有公開 CA 都會開放 CRL 供您組織的伺服器連絡。在某些情況下,只能透過輕量型目錄存取通訊協定 (LDAP) 取得私密、內部 PKI 的 CRL。在大部分情況下,公用 CA 的 CRL 會透過使用 HTTP 來發佈。請確定已設定適當的輸出通訊埠及 Proxy,讓伺服器及用戶端可連絡 CRL。您可以在 MMC 開啟憑證並檢視 CRL Distribution Points 欄位,判斷特定 CRL 發佈點接受哪一種通訊協定。
在某些情況下,您必須將發行您憑證的 CA 所具備的 CRL 開放使用。例如,如果您要部署 [網域安全性],則必須了解,即使是 Edge Transport Server 從您自己的組織擷取憑證,[網域安全性] 也會透過驗證憑證鏈結來驗證憑證。因此,CA 的 CRL 必須可供您自己的 Edge Transport Server 使用。此外,與您交換安全網域電子郵件的所有夥伴也必須可以存取會發行憑證之 CA 的 CRL。
設定 WinHTTP 的 Proxy 設定
Exchange 2007 伺服器依賴基礎 Windows HTTP Services (WinHTTP) 來管理所有 HTTP 及 HTTPS 流量。例如,Hub Transport Server 與 Edge Transport Server 皆可使用 HTTP 來存取「Exchange 2007 標準反垃圾郵件篩選器更新」及 Microsoft Forefront Security for Exchange Server 反垃圾郵件更新服務的更新。所有 Exchange 伺服器角色都會使用 WinHTTP 來啟用 CRL 驗證。
如需相關資訊,請參閱如何設定 WinHTTP 的 Proxy 設定。
測試 PKI 及 Proxy 組態
若要驗證特定 Exchange 伺服器的 PKI 及 Proxy 組態,請使用 Certutil.exe 驗證伺服器憑證的憑證鏈結。Certutil.exe 是一項命令列工具,已安裝為 Windows Server 作業系統中憑證服務的一部分。如需相關資訊,請參閱如何測試 PKI 和 Proxy 組態。
回到頁首
建立、匯入及啟用憑證
有數種方式可讓您取得在 Exchange 2007 上安裝及運作的憑證。您可以依本身需求選擇適當的方法。Exchange 2007 會產生一組自行簽署憑證,來保護預設組態的安全性。這組憑證應隨著時間進行更新,以確保系統安全性。Exchange 不會自動產生讓憑證授權單位簽署憑證的要求。無論您想建立新的自行簽署憑證,還是想針對憑證授權單位建立憑證要求,這兩種方法都使用相同的指令程式。
本節將概略說明您可以對 Exchange 2007 所使用的憑證執行的作業。如果您不熟悉 ExchangeCertificate 指令程式,請閱讀本節。本文件稍後將以 POP3 為例,提供應用程式特有的範例與程序。本節也會提供應用程式特有文件的連結。
憑證指令程式
在舊版 Exchange Server 中,所有憑證管理皆須透過的 IIS 以及 MMC 的 [憑證管理員] 來進行。在 Exchange 2007 中,與 Exchange 相關的憑證管理工作則大多可透過 [Exchange 管理命令介面] 的下列 ExchangeCertificate 指令程式執行:
New-ExchangeCertificate 此指令程式會產生自行簽署憑證,以及對憑證授權單位的憑證要求。
Import-ExchangeCertificate 此指令程式會匯入先前匯出的憑證,以及 CA 所產生的憑證檔案。
Export-ExchangeCertificate 此指令程式會匯出憑證以進行備份或用於多部伺服器。
Enable-ExchangeCertificate 此指令程式會讓特定服務使用某憑證。
Get-ExchangeCertificate 此指令程式會顯示憑證的屬性。
Remove-ExchangeCertificate 此指令程式會將憑證自 Exchange Server 與本機憑證儲存區中移除。
如需如何針對憑證授權單位建立憑證要求的相關資訊,請參閱建立 TLS 的憑證或憑證要求。
下列各節提供簡短的範例,說明如何使用 ExchangeCertificate 指令程式執行一般憑證工作。如需相關資訊與範例,請參閱Global 指令程式下的 ExchangeCertificate 指令程式說明。
產生自行簽署憑證
若要產生自行簽署憑證供 SMTP 服務用於主機名稱為 Server1、網域為 fourthcoffee.com 的伺服器,請執行下列命令:
New-ExchangeCertificate -DomainName "server1.fourthcoffee.com", "server1" -Services "SMTP"
複製自行簽署憑證
若必須更新現有的自行簽署憑證,則可以執行下列指令加以複製:
Get-ExchangeCertificate <thumbprint> | New-ExchangeCertificate
thumbprint 預留位置代表要更新之憑證的指紋。亦可透過下列命令來指定新憑證適用的服務:
Get-ExchangeCertificate <thumbprint> | New-ExchangeCertificate -Services SMTP,POP,IMAP
然後,您便可以執行下列命令啟用此憑證:
Enable-ExchangeCertificate <thumbprint>
建立憑證要求及安裝受信任憑證
安裝公開協力廠商憑證的程序比較複雜。您必須產生憑證要求、匯入所發行的憑證與所有必要的 CA 憑證,然後針對預定的一項或多項用途啟用已發行的憑證。
本節提供如何讓 POP3 服務使用憑證的範例。在此範例中,用戶端將連接至 FQDN popserver.fourthcoffee.com,藉以連接至 POP3 服務。
憑證要求
由於產生的憑證來自公開協力廠商 CA,因此您必須先執行下列命令,以產生憑證要求:
New-ExchangeCertificate -DomainName popserver.fourthcoffee.com -SubjectName "c=us,o=contoso corp, cn=popserver.fourthcoffee.com" -PrivateKeyExportable:$True -GenerateRequest:$True -Path "C:\CertRequest.req"
如果憑證要求正確產生,系統磁碟機的根目錄中即會建立憑證要求檔案 (.cer 或 .der),而 [Exchange 管理命令介面] 會顯示要求的指紋。
| 附註: |
|---|
| 提供者所傳回的憑證會支援憑證要求檔案不同的副檔名,如 .der 或 .cer。這些副檔名代表憑證檔案所使用的編碼方法。依預設,New-ExchangeCertificate 要求會建立 Base64 編碼的檔案 (.cer)。使用 BinaryEncoded 切換參數可建立 .der 檔案。 |
上一個命令將 PrivateKeyExportable 參數設為 $True,讓此憑證可與私密金鑰一起匯出,以用於可能必須使用相同 FQDN 加以存取的多部 Exchange 伺服器。例如,可能有多部 Client Access Server 會透過平衡負載來支援 POP3 連線。
| 附註: |
|---|
PrivateKeyExportable 參數是選用的。只有針對受信任 CA 產生憑證要求時,始應指定此參數。將 PrivateKeyExportable 參數設為 $True 後,即可移動及封存憑證和相關聯的金鑰。自行簽署憑證則不需執行此作業。 |
上一個命令也將 Subjectname 參數指定為 X.500 名稱。大部分的協力廠商 CA 都會要求您指定有效的 X.500 名稱作為憑證的主體名稱。大部分的 CA 至少會要求 organizationName (o=) 欄位中所列的組織必須擁有 Web 伺服器的 commonName (cn=) 中出現的網域名稱。
完成要求後,即可將要求檔案提交給憑證廠商,以取得憑證。
| 附註: |
|---|
| Get-ExchangeCertificate 指令程式會傳回憑證,以及仍屬於擱置要求的憑證。為區分這兩者,憑證要求中含有 CertificateRequest 屬性,此屬性會顯示憑證要求檔案中所儲存的輸出。若您不慎刪除憑證要求檔案,或產生未含參數的要求,可以使用此輸出。CertificateRequest 資料使用 base64 編碼,並可複製到檔案中,以傳送至您的 CA 進行憑證要求。 |
匯入憑證
CA 傳回憑證後,您必須將其匯入 Exchange 伺服器中。若要使用 New-ExchangeCertificate 指令程式匯入產生的要求適用的憑證,請執行下列命令:
Import-ExchangeCertificate -Path "C:\CertificateFile.cer"
如果憑證順利匯入,此命令即會傳回可供您啟用特定服務的憑證指紋。
| 重要事項: |
|---|
| 您必須將憑證匯入產生憑證要求的同一部電腦中。此外,請不要使用 MMC 的 [憑證管理員] 來匯入 Exchange 憑證。 |
啟用憑證
啟用憑證後,您即可指定可使用特定憑證的服務。下列命令可讓 POP3 服務使用已發行的憑證:
Enable-ExchangeCertificate <thumprint> -Services:"POP"
執行下列命令,可讓您同時匯入及啟用憑證:
Import-ExchangeCertificate -Path "C:\CertificateFile.cer" | Enable-ExchangeCertificate -Services:"POP"
驗證憑證安裝
若要確認所有的必要步驟均已完成,且憑證已順利安裝並運作,請執行下列命令:
Get- ExchangeCertificate <thumbprint> | fl *
| 附註: |
|---|
如果您執行的是 Exchange 2007 SP1 或更新版本,請在命令引數中加上星號 (*)。 |
此命令的輸出會傳回類似下列的資料:
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule,System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {popserver.fourthcoffee.com, fourthcoffee.com}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=3rdPartyCAExample.com
NotAfter : 8/7/2008 10:04:02 AM
NotBefore : 8/7/2007 10:04:02 AM
PublicKeySize : 2048
RootCAType : ThirdParty
SerialNumber : 83FAE8B2398F2A9E44485CBA85D548DF
Services : POP
Status : Valid
Subject : C=us,o=contoso corp, CN=fourthcoffee.com
Thumbprint : 257C327A164ED8A6FCDAFCA7789D29B60369DCA7
檢查此命令的輸出,以驗證下列資訊屬實:
您預期應出現的網域名稱列在 CertificateDomains 欄位中。
HasPrivateKey 內容設為
True。RootCAType 內容設定正確無誤。如需 RootCAType 內容的相關資訊,請參閱本文件稍早的憑證內容。
已為憑證啟用必要的服務。
狀態設為
Valid。
憑證服務
您可以在憑證上啟用 POP、IMAP、IIS 與 SMTP 等服務。服務不是憑證本身的欄位。它們是憑證的中繼資料內容。因此,無需使憑證失效即可加以變更。
啟用服務後,其他元件 (如 IIS Metabase 中的元件)、檔案系統或 IMAP4 與 POP3 設定上皆會發生組態變更。本節說明您在執行 Enable-ExchangeCertificate 指令程式啟用特定服務時所發生的組態變更。
POP 與 IMAP
將 POP 與 IMAP 新增至憑證作為其他服務後,POPSettings 物件或 IMAPSettings 物件上的 x509CertificateName 屬性即會更新,而憑證的主體中會加入網域。
例如,若要驗證 POPSettings 物件是否已更新,請執行下列命令
Get-POPSettings | fl *
| 附註: |
|---|
如果您執行的是 Exchange 2007 SP1 或更新版本,請在命令引數中加上星號 (*)。 |
IIS
IIS 啟用後,預設 IIS 網站即會更新為使用此憑證。
您可以僅針對預設 IIS 網站執行 Enable-ExchangeCertificate 指令程式,為 IIS 啟用憑證。如果您將 Outlook Web Access 或 [自動探索] 放置在預設 IIS 網站以外的網站,就必須使用 [IIS 管理員] 建立特定憑證與這些網站的關聯。
SMTP
在憑證上啟用 SMTP 服務時,網路服務帳戶會被授與 Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys 目錄中適當私密金鑰檔案的讀取權限。此動作可提供必要權限,讓 Microsoft Exchange Transport 服務得以存取及使用私密金鑰來為受 TLS 保護的郵件進行解密。
Microsoft Exchange 整合通訊服務
在憑證上啟用 Microsoft Exchange 整合通訊服務時,憑證內容會更新為加入整合通訊。當下列條件成立時,即會使用此憑證:
電腦上已安裝 Unified Messaging server role。
憑證的 CertificateDomains 憑證欄位中包含本機電腦的實體 FQDN。
回到頁首
憑證選擇
憑證選擇是 Exchange 元件所執行的一項程序,用以判斷應對內送連線使用何種憑證。SMTP STARTTLS、POP3 與 IMAP4 會執行類似的選擇程序,來判斷用於特定工作階段的憑證。此程序相當具有決定性。不過,它仍可能出現不確定的情況,尤其是在電腦上安裝了多個憑證時。
本節說明 SMTP STARTTLS、SMTP X-AnonymousTLS、POP3 與 IMAP4 的憑證選擇程序。如需傳輸特定憑證選擇的相關資訊,請參閱 SMTP TLS 憑證選擇。
SMTP STARTTLS
STARTTLS 是用以初始化安全 TLS 工作階段的 SMTP 動詞。只有在執行 Exchange 的電腦上具有有效憑證時,Exchange 才會通告 STARTTLS。
通告或使用 STARTTLS 時,Exchange 會根據 FQDN 以及憑證 CertificateDomains 欄位中的相符值選取憑證。FQDN 以下列資訊為基礎:
輸出 STARTTLS 系統會根據傳送連接器上的 FQDN 值選取憑證。
輸入 STARTTLS 系統會根據接收連接器上的 FQDN 值選取憑證。
附註:無論是輸出 STARTTLS 還是輸入 STARTTLS,若未指定連接器的 FQDN,則會使用 Exchange 伺服器的實體 FQDN 進行比對。
判斷 FQDN 後,Exchange 會搜尋主機電腦上的 [個人] 憑證儲存區中所有的有效憑證。如果憑證符合下列所有需求,即適用於 TLS:
Enhanced Key Usage 欄位包含伺服器驗證物件識別碼 (亦稱為 OID),或為 NULL。
PKI 憑證延伸所列的 RSA 金鑰使用最低的 1024 位元。
憑證沿著憑證鏈結向上驗證至受信任的根,或憑證屬於自行簽署的憑證。
憑證與憑證鏈結皆通過撤銷檢查。
私密金鑰存在並可用。
私密金鑰未儲存在卸除式裝置中。
私密金鑰未以密碼保護。
如果找到多個有效憑證,Exchange 會根據下列準則選取憑證:
NotBefore 欄位中的值 Exchange 會選取最新的有效憑證。
受信任 CA 所發行的憑證與自行簽署憑證 Exchange 會優先選取受信任 CA 所發行的憑證,而非自行簽署憑證。
在多數情況下,無論憑證存在多久,Exchange 都會優先選取受信任 CA 所發行的憑證,而非自行簽署憑證。如果找不到有效憑證,則不會通告 STARTTLS。
SMTP X-AnonymousTLS
X-AnonymousTLS 有助於確保兩部 Hub Transport Server 之間,以及 Hub Transport Server 與 Edge Transport Server 之間的通訊安全性。Exchange 2007 SP1 中的憑證選擇程序已有所簡化,在找不到憑證時,將會為工作階段產生暫時加密金鑰。
Exchange 會搜尋內部傳輸憑證。如果找不到有效的內部傳輸憑證,Exchange 即會搜尋有效的 CA 憑證。
因此,在使用 Kerberos 通訊協定進行驗證的中樞對中樞通訊中,SMTP 工作階段並不會因為缺少有效的內部傳輸憑證而失敗。SMTP 工作階段會以暫時加密金鑰進行加密。在此情況下會記錄事件,而您必須在產生事件的電腦上執行不含引數的 New-ExchangeCertificate 指令程式,以建立新的內部傳輸憑證。
在 Edge Transport Server 訂閱組織的中樞對邊際通訊中,如果找不到有效的內部傳輸憑證,工作階段即會失敗,並且會記錄錯誤。在此情況下,您必須在產生事件的電腦上執行不含引數的 New-ExchangeCertificate 指令程式,然後再次執行 Microsoft Exchange EdgeSync 服務。
POP3 及 IMAP4
如同 SMTP STARTTLS 的憑證選擇程序,在 POP3 與 IMAP4 的程序中,Exchange 也必須選取 FQDN,然後根據 CertificateDomains 欄位中的相符值找出憑證。選擇的 FQDN 是依據 POP3 或 IMAP4 服務設定中的 X509CertificateName 屬性。檢視 X509CertificateName 屬性的方法是執行 Get-POPSettings 指令程式或 Get-IMAPSettings 指令程式。如需相關資訊,請參閱 Get-POPSettings 及 Get-IMAPSettings。
在 Exchange 2007 SP1 中,POP3 與 IMAP4 的選擇程序與 SMTP STARTTLS 的程序相同。
| 附註: |
|---|
在 Exchange 2007 RTM 中,POP3 與 IMAP4 的憑證選擇程序有兩項主要例外。受信任 CA 所發行的憑證並非優先於自行簽署憑證。Exchange 2007 會選取最新的憑證。此外,在 Exchange 2007 RTM 中,POP3 與 IMAP4 並不支援在憑證上使用萬用字元網域。這表示,若 POP3 設定或 IMAP4 設定的 X509CertificateName 屬性設為 mail.fourthcoffee.com,Exchange 2007 即不支援僅包含 *.fourthcoffee.com 作為憑證網域的憑證。 |
整合通訊
如果 Microsoft Exchange 整合通訊服務是以安全模式來啟動,則會查詢本機 [個人] 憑證儲存區,尋找要用來讓 TLS 啟用加密的有效憑證。Microsoft Exchange 整合通訊服務會先尋找由私密 PKI 或公開 CA 所發行的有效憑證。如果找不到適當的憑證,則會尋找自行簽署憑證。如果找不到任何 PKI、公用或自行簽署的憑證,Microsoft Exchange 整合通訊服務就會建立自行簽署的憑證,以便用在安全模式中啟動。如果 UM 伺服器是以不安全的模式啟動,則不需要憑證。
每回使用憑證,或若是憑證有所變更,都會將用來以安全模式啟動之憑證的所有詳細資料記錄下來。所記錄的部分詳細資料如下:
簽發者名稱
序號
指紋
指紋是安全雜湊演算法 (SHA1) 雜湊值。它可用以唯一識別所使用的憑證。您可以從本機憑證儲存區匯出 Microsoft Exchange 整合通訊服務以安全模式啟動時所使用的憑證,然後在您網路的整合通訊 IP 閘道及 IP PBX 上,將此憑證匯入受信任的憑證儲存區中。
在找到並使用適當的憑證之後,Microsoft Exchange 整合通訊服務會在所使用的憑證到期前的一個月記錄一個事件。如果您在這段時間都沒有對憑證做任何變更,Microsoft Exchange 整合通訊服務就會在憑證到期前的每一天以及憑證到期後的每一天,記錄一個事件。
當 Unified Messaging Server 在尋找要讓相互 TLS 用來建立加密的通道憑證時,會查看受信任的根憑證存放區。如果有好幾個憑證有效,而且是來自不同的簽發者,則 Unified Messaging Server 會選取剩餘有效期最長的有效憑證。如果有多個憑證存在,則 Unified Messaging Server 會根據簽發者以及憑證的到期日來選取憑證。Unified Messaging Server 會依照下列優先順序尋找有效憑證:
有效期最長的 PKI 或公用憑證。
有效期最短的 PKI 或商業性憑證。
有效期最長的自行簽署憑證。
有效期最短的自行簽署憑證。
回到頁首
相關資訊
以下是本主題的參考文件:
回到頁首