在边缘传输服务器上使用 PKI 以确保域安全

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2012-07-23

因为,域安全依赖于相互传输层安全性 (TLS) 身份验证。成功的 Mutual TLS 身份验证依赖用于域安全的 TLS 证书的受信任的、经过验证的 X.509 证书链。

所以,必须先配置边缘传输服务器和 X.509 公钥基础结构 (PKI) 以容纳证书信任和证书验证,才能成功部署域安全。

重要重要说明:
本主题中不提供关于加密和证书技术及概念的详细说明。在部署任何使用加密和 X.509 证书的安全解决方案之前,建议您了解信任、身份验证、加密、公钥和私钥交换的基本概念,因其与加密有关。有关详细信息,请参阅本主题结尾部分列出的参考信息。

若要验证给定的 X.509 证书,必须信任颁发证书的根证书颁发机构 (CA)。根 CA 是最受信任的 CA,位于 CA 层次结构的顶部。根 CA 具有自签名证书。运行依赖于证书颁发机构的应用程序时,每个证书必须具有结束于本地计算机的受信任根容器中的证书的证书链。受信任根容器包含来自根证书颁发机构的证书。

若要成功发送域安全的电子邮件,必须能够验证接收服务器的 X.509 证书。类似地,当某个用户向您的组织发送域安全的电子邮件时,发送服务器必须能够验证您的证书。

有两种类型的受信任的根 CA,用于实施域安全:内置的第三方根 CA 和私有根 CA。

MicrosoftWindows 包括一组内置的第三方根 CA。如果信任由这些第三方根 CA 颁发的证书,则表示可以验证由这些 CA 颁发的证书。如果您的组织和伙伴组织使用的是默认 Windows 安装,且信任内置的第三方根 CA,则信任是自动的。在此方案中,不需要其他信任配置。

私有受信任的根 CA 是已经由私有 PKI 或内部 PKI 部署的根 CA。例如,当您的组织或与之交换域安全的电子邮件的组织已使用自己的根证书部署内部 PKI 时,必须进行其他信任配置。

使用私有根 CA 时,必须更新存储在边缘传输服务器上的 Windows 受信任的根证书,以确保域安全功能正常工作。

可以使用两种方法配置信任:直接根信任和交叉证书。必须了解传输服务无论何时拾取证书,都会在使用该证书之前对其进行验证。因此,如果使用私有根 CA 颁发证书,则必须将该私有根 CA 包括在位于发送或接收域安全的电子邮件的每个边缘传输服务器上的受信任的根证书存储中。

如果需要信任某个已由私有根 CA 颁发的证书,可以手动将此根证书添加到边缘传输服务器计算机上的受信任的根证书存储。有关如何将证书手动添加到本地证书存储的详细信息,请参阅 Microsoft 管理控制台 (MMC) 中证书管理器管理单元的帮助文件。

当一个 CA 签署由另一个 CA 生成的证书时,出现交叉证书。交叉证书使用一个 PKI 构建对另一个 PKI 的信任。在域安全的上下文中,如果您拥有自己的 PKI,则您可能为在您的根颁发机构下的伙伴 CA 创建交叉证书,而不是对带有内部 PKI 的伙伴的根颁发机构使用直接手动信任。在这种情况下,会由于交叉证书最终链回到受信任根而建立信任。

必须了解如果拥有内部 PKI 且正在使用交叉证书,则必须在每个接收域安全的电子邮件的边缘传输服务器上手动更新根证书存储,以便每个边缘传输服务器在从通过交叉证书获得信任的伙伴处接收电子邮件时,可以对证书进行验证。

有关如何手动向本地证书存储添加证书的详细信息,请参阅 MMC 中证书管理器管理单元的帮助文件。

无论传输服务何时检索证书,都会验证证书链并验证证书。证书验证是一个确认证书的许多属性的过程。这些属性中的大部分可以在本地计算机上由请求该证书的应用程序确认。例如,该证书的预期用法、该证书的过期日期以及类似的属性在 PKI 上下文以外是可验证的。但是,对尚未吊销的证书的验证必须使用颁发该证书的 CA 进行验证。因此,大部分 CA 制作了公开的证书吊销列表 (CRL),用来验证吊销状态。

若要成功使用域安全,则您或您的伙伴使用的 CA 的 CRL 必须对发送和接收域安全的电子邮件的边缘传输服务器可用。如果吊销检查失败,则接收 Exchange 服务器发放临时协议拒绝邮件。可能发生暂时性吊销失败。例如,用于发布 CRL 的 Web 服务器可能失败。或者,边缘传输服务器和 CRL 通讯点之间的常规网络连接问题可能无法完成吊销检查。因此,暂时性吊销失败只会导致邮件传递的暂时延迟,因为发送服务器稍后将重试。但是,成功传输域安全的电子邮件需要 CRL 验证。

必须启用下列方案:

  • 边缘传输服务器必须能够访问外部 CA 的 CRL   您与之交换域安全的电子邮件的每个伙伴必须具有您的组织的边缘传输服务器可联系的公开 CRL。在某些情况下,CRL 仅在轻型目录访问协议下 (LDAP) 下可用。大多数情况下,对于公用 CA,其 CRL 通过 HTTP 发布。确保配置了适当的出站端口和代理,以允许边缘传输服务器与 CRL 联系。通过打开 MMC 中的证书查看“CRL 分发点”字段,可确定给定 CRL 分发点接受的协议。

  • 必须使颁发证书的 CA 的 CRL 公开可用   您必须要了解,即使边缘传输服务器从您自己的组织中检索证书时,它也要验证证书链以验证证书。因此,您的 CA 的 CRL 必须对您自己的边缘服务器可用。另外,您与之交换域安全的电子邮件的所有伙伴必须能够访问为您颁发证书的 CA 的 CRL。

Exchange 2010 传输服务器依靠基本的 Microsoft Windows HTTP Services (WinHTTP) 管理所有 HTTP 和 HTTPS 通信。集线器传输服务器和边缘传输服务器都可以使用 HTTP 访问 Microsoft Exchange 2010 标准反垃圾邮件筛选器更新和 CRL 验证的更新。

有关详细信息,请参阅配置 WinHTTP 的代理设置

若要验证特定边缘传输服务器的 PKI 和代理配置,请使用 Certutil.exe 验证边缘传输服务器证书的证书链。Certutil.exe 是一个命令行工具,在 Windows Server 2008 操作系统中作为证书服务的一部分安装。有关详细信息,请参阅测试 PKI 和代理配置

 © 2010 Microsoft Corporation。保留所有权利。
显示: