从 Exchange 密钥管理服务器的早期版本迁移

 

上一次修改主题: 2005-05-19

与 Exchange 的早期版本不同,在 Exchange 2003 中没有密钥管理服务器。Exchange 可以使用对 S/MIME 版本 3 提供支持的任何 PKI,包括 Windows Server 2003 证书服务以及第三方提供的 PKI。由于支持基于标准的 PKI,因此不需要 Exchange 提供任何数字证书处理功能。

当运行密钥管理服务器的客户计划升级到 Exchange 2003 时,应该包括与从密钥管理服务器升级相关的特定计划。Windows Server 2003 为当前在 Exchange Server 5.5 和 Exchange 2000 Server 上运行密钥管理服务器的客户提供了升级路径。那些希望在密钥管理服务器中保留现有投资的客户,应该计划包括一个从当前密钥管理服务器到 Windows Server 2003 CA 的特定升级路径。

Caution警告:
建议不要使用密钥管理服务器的早期版本在 Exchange 2003 中提供证书处理。Microsoft 尚未使用 Exchange 2000 Server 和 Exchange Server 5.5 中的密钥管理服务器对 Exchange 2003 执行广泛测试。客户在将密钥管理服务器与 Exchange 2003 一起使用时可能出现意外的结果。

有关从密钥管理服务器迁移到 Windows Server 2003 CA 的信息,请参阅“Key Archival and Management in Windows Server 2003”(英文)。下面部分中的信息补充了这篇联机文章,并提供有关基于现有 Exchange 实现版本的迁移路径和选项的信息。

Exchange Server 5.5 的密钥管理服务器只对 S/MIME 版本 1 数字证书提供支持。作为密钥管理服务器一部分而提供的证书颁发机构 (CA) 负责颁发这些证书。通过 Exchange 5.5 Service Pack 1 (SP1),添加了使 Exchange 可以使用 S/MIME 版本 3 数字证书的支持。实际上,这些证书由 Windows 2000 Server CA 颁发。

根据现有证书是 S/MIME 版本 1 还是 S/MIME 版本 3,升级路径将有所不同。请确定当前使用的 S/MIME 证书的版本,然后选择执行下面某个部分中的步骤。

由于 S/MIME 版本 1 与 S/MIME 版本 3 证书之间具有差别,因此它们不能升级。下面是建议的升级路径。

  1. 使用作为 Exchange 2003 部署的一部分的 Windows Server 2003 CA 实现新的 S/MIME 版本 3 安装。
  2. 从 Exchange 5.5 密钥管理服务器吊销并导出 S/MIME 版本 1 证书。
  3. 将这些证书导入 Windows Server 2003 CA。

通过使证书可以用作 CA 内的外部证书,上述序列事件确保用户可以阅读使用 S/MIME 版本 1 证书加密的邮件。

使用 S/MIME 版本 1 证书从 Exchange 5.5 密钥管理服务器升级到 Windows Server 2003 CA 的过程与实现新的 Windows Server 2003 CA 相似。

下面是此升级路径中的建议序列操作。

  1. 使用 Outlook 将每个用户的 Exchange Server 5.5 密钥管理服务器证书导出到 .epf 文件。
  2. 确保已经为密钥存档配置了新目录林中的 Windows Server 2003 CA,并接受从其他颁发机构存档的密钥。
  3. 导入 Exchange Server 5.5 密钥管理服务器证书。
  4. 从新目录林中的 Windows Server 2003 CA 颁发新的数字证书。
  5. 所有用户从 Exchange 5.5 迁移后,报废旧的密钥管理服务器。

有关如何在 Exchange 5.5 密钥管理服务器中吊销用户证书的信息,请参阅 Exchange Server 5.5 密钥管理服务器帮助。有关如何使用 Outlook 将证书导出到 .epf 文件的信息,请参阅 Outlook 帮助和 Office 资源工具包。有关如何导入已存档的密钥的信息,请参阅“Key Archival and Management in Windows Server 2003”(英文)。

按照此路径,可确保用户在 Exchange 2003 中使用由新 Active Directory 目录林中的 Windows Server 2003 CA 颁发的 S/MIME 版本 3 证书,并确保用户可以阅读使用 S/MIME 版本 1 证书加密的邮件。

将 S/MIME 版本 3 证书与 Exchange Server 5.5 一起使用时,可以使用 Exchange 2000 密钥管理服务器将该证书升级到 Windows Server 2003。升级到 Exchange 2000 密钥管理服务器后,可以使用已建立的从 Exchange 2000 密钥管理服务器到 Windows Server 2003 CA 的升级路径。有关此路径的详细信息,请参阅“Key Archival and Management in Windows Server 2003”(英文)。

important重要提示:
使用 Exchange 2000 密钥管理服务器从 Exchange Server 5.5 密钥管理服务器迁移到 Windows Server 2003 CA 时,建议您在任何服务器上安装 Exchange Server 2003 之前,在将要用于迁移密钥管理服务器的服务器上安装 Exchange 2000 Server。
note注意:
否则,如果将 Exchange 2000 Server 安装到现有 Exchange 2003 组织中,则 Exchange 2003 安装程序将重置某些权限。请先安装 Exchange 2000,然后安装 Exchange 2003,以确保没有问题。

有关迁移 Exchange 5.5 密钥管理服务器中的 S/MIME 版本 3 证书的建议序列操作,请参阅“Key Archival and Management in Windows Server 2003”(英文)。有关从 Exchange 5.5 密钥管理服务器迁移到 Exchange 2000 密钥管理服务器的信息,请参阅 Exchange 2000 帮助。有关从 Exchange 2000 密钥管理服务器迁移到 Windows Server 2003 CA 的信息,请参阅下一部分。

将 S/MIME 版本 3 证书与 Exchange Server 5.5 或 Exchange 2000 密钥管理服务器一起使用的客户将使用 Exchange 2000 密钥管理服务器迁移过程,来将 S/MIME 证书移动到 Windows Server 2003 CA。有关如何执行此迁移过程的完整信息,请参阅“Key Archival and Management in Windows Server 2003”(英文)。下面的信息提供有关 Exchange 特有的步骤的说明。

note注意:
Windows Server 2003 CA 颁发的数字证书所使用的加密服务提供程序 (CSP) 与 Exchange 2000 密钥管理服务器颁发的数字证书所使用的提供程序是不同的。这两种数字证书的一个区别是它们如何处理私钥保护。虽然用户可以选择将密码缓存一定时间,但是 Exchange 2000 密钥管理服务器颁发的数字证书仍需要在使用私钥时输入密码。Windows Server 2003 CA 颁发的数字证书依靠 Windows 客户端来提供私钥的保护措施。具体地说,用户的私钥受用户的登录凭证保护。用户必须先通过有效的 Windows 登录进行身份验证,然后才能访问他们的私钥。管理员可以选择在使用私钥时要求提供密码这样一种身份验证冗余层来加强此保护。可以通过更改用于生成 S/MIME 证书的模板来完成此操作。有关详细信息,请参阅“Implementing and Administering Certificate Templates in Windows Server 2003”(英文)。

从 Exchange 2000 密钥管理服务器迁移到 Windows Server 2003 时,建议您使用下列序列操作进行升级:

  1. 确保 Active Directory 目录林至少升级到 Windows 2000 Service Pack 3 (SP3)。
    note注意:
    如果计划使用自动登记和密钥存档,且 Active Directory 目录林未运行 Windows Server 2003,则必须扩展目录林中的架构以适应这些功能。有关详细信息,请参阅“Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure”(英文)。
  2. 将所有 Exchange 2000 服务器(Exchange 2000 密钥管理服务器除外)升级到 Exchange 2003。继续运行 Exchange 2000 的同时执行下列任务。
  3. 将 Windows Server 2003 CA 安装到 Active Directory 目录林。
    note注意:
    将 Windows Server 2003 CA 作为 Exchange 2000 密钥管理服务器迁移的一部分安装时,不应该升级现有的 Windows 2000 Server CA。您需要这些 CA 可用于下列任务中的导出过程。
  4. 配置 Windows Server 2003 CA 的自动登记设置,以便登记域中拥有数字证书的所有用户。有关详细信息,请参阅“Certificate Autoenrollment in Windows Server 2003”(英文)。
  5. 导出 Exchange 2000 密钥管理服务器颁发的数字证书。有关详细信息,请参阅“Key Archival and Management in Windows Server 2003”(英文)。
    note注意:
    导出数字证书会自动吊销这些证书。
  6. 将 Exchange 2000 密钥管理服务器颁发的数字证书导入到 Windows Server 2003 CA。有关详细信息,请参阅“Key Archival and Management in Windows Server 2003”(英文)。
  7. 报废 Exchange 2000 密钥管理服务器。

如果从 Exchange 2000 到 Windows Server 2003 的迁移包括将用户移动到新的目录林,应该首先吊销用户证书,并将它们作为外部证书导入目标 Active Directory 目录林,因为密钥管理服务器未设计成在跨目录林情形中操作。如果将用户的邮箱移动到新的目录林后尝试继续使用 Exchange 2000 密钥管理服务器证书,则会导致难以验证数字签名,以及出现其他无法预料的结果。通过吊销、导出和导入原始证书,确保仍然可以阅读使用旧证书加密的邮件。

将用户作为从 Exchange 2000 密钥管理服务器迁移的一部分移动时,建议您按下列序列操作进行升级:

  1. 确保 Active Directory 目录林至少升级到 Windows 2000 SP3。
  2. 将所有 Exchange 2000 服务器(Exchange 2000 密钥管理服务器除外)升级到 Exchange 2003。继续运行 Exchange 2000 的同时执行下列任务。
  3. 将 Windows Server 2003 CA 安装到 Active Directory 目录林。
  4. 确保已经为密钥存档配置了新目录林中的 Windows Server 2003 CA,并接受从其他颁发机构存档的密钥。
  5. 配置 Windows Server 2003 CA 的自动登记设置,以便登记域中拥有数字证书的所有用户。有关详细信息,请参阅“Certificate Autoenrollment in Windows Server 2003”(英文)。
  6. 导出 Exchange 2000 密钥管理服务器颁发的数字证书。有关详细信息,请参阅“Key Archival and Management in Windows Server 2003”(英文)。
    note注意:
    导出数字证书会自动吊销这些证书。
  7. 将 Exchange 2000 密钥管理服务器颁发的数字证书导入到 Windows Server 2003 CA。有关详细信息,请参阅“Key Archival and Management in Windows Server 2003”(英文)。
  8. 报废 Exchange 2000 密钥管理服务器。

如果按照这些步骤以及“Key Archival and Management in Windows Server 2003”(英文)中提供的信息进行操作,您可以成功地将用户及其数字证书从 Exchange 2000 密钥管理服务器迁移到 Windows Server 2003 CA。

 
显示: