了解用于客户端访问的 SSL
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-04-06
安全套接字层 (SSL) 是保护客户端与服务器之间的通信的一种方法。对于运行 Microsoft Exchange Server 2007 并且安装了客户端访问服务器角色的计算机,SSL 用于帮助保护服务器与客户端之间的通信。客户端包括移动设备、组织网络内部的计算机和组织网络外部的计算机。其中包括已建立和未建立虚拟专用网络 (VPN) 连接的客户端。
默认情况下,在安装 Exchange 2007 时,如果使用 Microsoft Office Outlook Web Access、Microsoft Exchange ActiveSync 和 Outlook Anywhere,将使用 SSL 对客户端通信进行加密。默认情况下,邮局协议版本 3 (POP3) 和 Internet 邮件访问协议版本 4 rev1 (IMAP4) 未配置为通过 SSL 进行通信。
SSL 要求使用数字证书。本主题概述各种类型的数字证书,并提供如何配置客户端访问服务器以使用这些类型的数字证书的有关信息。
数字证书概述
数字证书是功能类似于联机密码的电子文件,用于验证用户或计算机的身份。使用数字证书为客户端通信建立 SSL 加密的通道。证书是由证书颁发机构 (CA) 颁发的数字声明,由 CA 担保证书持有者的身份并使参与各方能使用加密来以安全方式进行通信。
数字证书执行下列任务:
验证其持有者(人员、网站、甚至是诸如路由器这样的网络资源)是否确实是其声称的某人或某个对象。
帮助防止联机交换的数据被偷窃或篡改。
数字证书可以由受信任的第三方 CA 或 Microsoft Windows 公钥基础结构 (PKI) 使用证书服务颁发,也可以自行签署。每种类型的证书都有优点和缺点。每种类型的数字证书都是防篡改的,并且无法伪造。
可以针对多种用途颁发证书,其中包括 Web 用户身份验证、Web 服务器身份验证、安全/多用途 Internet 邮件扩展 (S/MIME) 、Internet 协议安全 (IPsec)、传输层安全 (TLS) 和代码签名。
证书包含一个公钥,并将该公钥与持有相应私钥的个人、计算机或服务的身份关联起来。客户端和服务器在传输数据之前,使用公用和私钥来加密数据。对于基于 Microsoft Windows 的用户、计算机和服务,如果在受信任根证书存储中有根证书副本,并且该证书包含有效的证书路径,就建立了对该 CA 的信任。若要使证书有效,必须尚未吊销该证书,并且必须尚未超过有效期。
证书类型
主要有三种类型的数字证书:自签名证书、Windows PKI 生成的证书和第三方证书。
自签名证书
在安装 Exchange 2007 时,将自动配置一个自签名证书。自签名证书由创建该证书的应用程序签署。证书的主题和名称是一致的。颁发者和主题在证书上定义。自签名证书将允许某些客户端协议使用 SSL 进行通信。Exchange ActiveSync 和 Outlook Web Access 可以使用自签名证书建立 SSL 连接。Outlook Anywhere 不支持使用自签名证书。必须手动将自签名证书复制到客户端计算机或移动设备上的受信任根证书存储中。如果客户端通过 SSL 连接到服务器上,并且服务器提供自签名证书,系统将提示客户端验证该证书是否由受信任的颁发机构颁发。客户端必须明确信任颁发机构。如果客户端可以继续,SSL 通信就可以继续。
通常,由于经费问题,或者由于管理员经验不足或缺乏创建自己的证书层次结构方面的知识,亦或前述两种原因都有,小型组织会决定不使用第三方证书或不安装自己的 PKI 来颁发自己的证书。如果使用自签名证书,则成本低且安装简单。但是,使用自签名证书时,为证书生命周期管理、续订、信任管理和吊销等任务建立基础结构要困难得多。
Windows 公钥基础结构证书
第二种类型的证书是 Windows PKI 生成的证书。PKI 是由数字证书、证书颁发机构 (CA) 和注册机构 (RA) 组成的系统,该系统可以使用公钥加密来验证和鉴定电子交易中涉及的各方的有效性。在使用 Active Directory 目录服务的组织中实现 CA 时,需要为证书生命周期管理、续订、信任管理和吊销等任务提供基础结构。但是,部署服务器和基础结构时,创建和管理 Windows PKI 生成的证书会产生一些额外的开销。
需要使用证书服务部署 Windows PKI,证书服务可以通过“控制面板”中的“添加或删除程序”安装。可以将证书服务安装在域中的任何服务器上。
如果从加入域的 Windows CA 获取证书,则可以使用该 CA 来请求或签署证书,以便颁发给网络中您自己的服务器或计算机。这样,您可以使用与第三方证书供应商相似的 PKI,但成本会低一些。尽管无法像其他类型的证书那样公开部署这些 PKI 证书,但是,在 PKI CA 使用私钥签署请求者的证书时,将对请求者进行验证。此 CA 的公钥是该证书的一部分。如果服务器的受信任根证书存储中包含此证书,则可以使用公钥来解密请求者的证书,并验证请求者的身份。
部署 PKI 生成的证书的步骤与部署自签名证书所需的步骤类似。仍必须将 PKI 生成的受信任根证书的副本安装到希望能够与 Microsoft Exchange 建立 SSL 连接的计算机或移动设备的受信任根证书存储中。
Windows PKI 使组织可以发布自己的证书。客户端可以在内部网络上请求并接收 Windows PKI 生成的证书。Windows PKI 可以续订或吊销证书。
有关详细信息,请参阅下列主题:
有关证书的详细信息,请参阅 Public Key Infrastructure for Windows Server 2003。
有关实现 Windows PKI 的最佳实践的详细信息,请参阅 Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure。
有关如何部署基于 Windows 的 PKI 的详细信息,请参阅 Windows Server 2003 PKI Operations Guide。
受信任的第三方证书
第三方证书或商业证书是由第三方 CA 或商业 CA 生成,然后由使用者购买以便在网络服务器上使用的证书。自签名证书和基于 PKI 的证书存在一个问题:由于客户端计算机或移动设备不会自动信任该证书,因此,必须确保将证书导入客户端计算机和设备上的受信任根证书存储中。第三方证书或商业证书没有此问题。大多数商业 CA 证书都已获得信任,因为其证书已驻留在受信任的根证书存储中。由于颁发者受到信任,因此证书也受到信任。使用第三方证书可以极大地简化部署。
对于大型组织或必须公开部署证书的组织,尽管使用第三方证书或商业证书会产生相关的开销,但是,这仍然是最佳解决方案。对于中小型组织,商业证书可能不是最佳解决方案,您可决定选择使用其他可用的证书。
选择证书类型
选择要安装的证书类型时,需要考虑多个因素。证书必须已签署为有效证书。可以自行签署,也可以由 CA 签署。自签名证书有些局限性。例如,并非所有移动设备都允许用户在受信任根证书存储中安装数字证书。是否可以在移动设备上安装证书,取决于移动设备的制造商和移动运营商。某些制造商和移动运营商禁止访问受信任根证书存储。在这种情况下,无法在移动设备上安装自签名证书和由 Windows PKI CA 颁发的证书。
大多数移动设备已预装多个受信任的第三方商业证书。若要获得最佳的用户体验,应使用运行 Windows Mobile 6.0 的设备和受信任的第三方 CA 颁发的数字证书来对 Exchange ActiveSync 实现基于证书的身份验证。
详细信息
有关详细信息,请参阅下列主题: