了解 Client Access Server 的 SSL

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-03-23

安全通訊端層 (SSL) 是保護用戶端與伺服器之間通訊安全的方法。針對執行 Microsoft Exchange Server 2007 且已安裝 Client Access server role 的電腦,SSL 可用於協助保護伺服器與用戶端間的通訊安全。這些用戶端包括行動裝置、組織網路中的電腦,以及組織網路外的電腦。包括具備或不具備虛擬私人網路 (VPN) 連線的用戶端。

安裝 Exchange 2007 時,預設會使用 SSL 來加密與 Outlook Web Access、Exchange ActiveSync 及 Outlook 無所不在等用戶端的通訊。依預設,POP3 (郵局通訊協定第 3 版) 與 IMAP4 (網際網路訊息存取通訊協定第 4 版修訂版 1) 並未設定為透過 SSL 通訊。

SSL 會要求您使用數位憑證。本主題提供各種數位憑證類型的概觀,以及如何設定 Client Access Server 來使用這些數位憑證類型的相關資訊。

數位憑證概觀

數位憑證是電子檔案,可以類似線上密碼的方式運作,來驗證使用者或電腦的識別碼。它們會用來建立用戶端通訊使用的 SSL 加密通道。憑證是由憑證授權單位 (CA) 發出的數位陳述式,可證實憑證持有者的身分,並可讓各方透過加密功能,以安全的方式來通訊。

數位憑證可以執行下列作業:

  • 他們可以驗證其持有者 (人員、網站,甚至是諸如路由器的網路資源) 的確就是其所宣稱的身分。

  • 它會保護在線上交換的資料不被竊取或擅改。

數位憑證可由信任的協力廠商 CA 或 Microsoft Windows 公開金鑰基礎結構 (PKI) 使用憑證服務發出,或是自行簽署。每種憑證類型都各有優缺點。每種憑證類型都有防止擅改的特性,而且無法進行偽造。

可針對數種用法來發出憑證。這些用法包括 Web 使用者驗證、Web 伺服器驗證、安全多用途網際網路郵件延伸 (S/MIME)、網際網路通訊協定安全性 (IPsec)、傳輸層安全性 (TLS) 及程式碼簽章。

憑證會包含一個公開金鑰,並會將該公開金鑰附加至具有相對應之私密金鑰的個人、電腦或服務的識別碼。用戶端及伺服器都會使用公開及私密金鑰,先將資料加密,再進行傳輸。對於 Microsoft Windows 型使用者、電腦及服務而言,當信任的根憑證儲存區中有根憑證的副本,且該憑證包含有效的憑證路徑時,就會在 CA 中建立信任。若要讓憑證生效,則憑證必須尚未遭到撤銷,且有效期限尚未到期。

憑證類型

主要的數位憑證類型有三種:自行簽署的憑證、Windows PKI 產生的憑證,以及協力廠商的憑證。

自行簽署的憑證

當您安裝 Exchange 2007 時,即會自動設定自行簽署的憑證。自行簽署的憑證會由建立它的應用程式簽署。憑證的主旨與名稱會相符。憑證上會定義簽發者與主旨。自行簽署的憑證可允許某些用戶端通訊協定使用 SSL 進行通訊。Microsoft Exchange ActiveSync 和 Office Outlook Web Access 可以使用自行簽署的憑證來建立 SSL 連線。Outlook 無所不在無法與自行簽署的憑證搭配使用。自行簽署的憑證必須以手動方式複製到用戶端電腦或行動裝置上的信任根憑證儲存區中。當用戶端透過 SSL 連接至伺服器且伺服器提供自行簽署的憑證時,系統會提示用戶端確認該憑證是由受信任的授權單位所發出。用戶端必須明確地信任發出憑證的授權單位。如果用戶端繼續,SSL 通訊即可繼續。

小型組織經常會因為經費問題,及/或因為他們的系統管理員缺乏建立自己的憑證階層的經驗及知識,而決定不使用協力廠商的憑證或安裝自己的 PKI 來發出自己的憑證。當您使用自行簽署的憑證時,成本最低,設定也很簡單。然而,若要建立憑證週期管理、更新、信任管理及撤銷的基礎結構時,使用自行簽署憑證的難度會高出許多。

Windows 公開金鑰基礎結構的憑證

第二種憑證類型是 Windows PKI 產生的憑證。PKI 是一套數位憑證、憑證授權單位及註冊授權單位 (RA) 的系統,可使用公開金鑰加密法來確認及驗證與電子交易有關之各方的有效性。當您在使用 Active Directory 的組織中實作 CA 時,會提供憑證週期管理、更新、信任管理及撤銷的基礎結構。然而,需要一些額外的成本來部署伺服器及基礎結構,才能建立及管理 Windows PKI 產生的憑證。

要部署 Windows PKI 需要有憑證服務,它可透過 [控制台] 中的 [新增或移除程式] 來安裝。您可以在網域中的任何伺服器上安裝憑證服務。

如果您從加入網域的 Windows CA 取得憑證,則可使用 CA 來要求或簽署憑證,以便簽發給網路上自己的伺服器或電腦。這可讓您使用類似協力廠商憑證廠商的 PKI,但花費較少。雖然這些 PKI 憑證無法像其他類型的憑證一樣可以公開部署,但當 PKI CA 使用私密金鑰來簽署要求者的憑證時,即可驗證該要求者。此 CA 的公開金鑰為憑證的一部分。在信任根憑證儲存區中具有此憑證的伺服器,可以使用該公開金鑰,將要求者的憑證解密,並驗證該要求者。

部署 PKI 產生之憑證的步驟類似部署自行簽署憑證所需的步驟。您仍然必須將來自 PKI 的信任根憑證副本安裝至要能建立連至 Microsoft Exchange 之 SSL 連線的電腦或行動裝置的信任根憑證儲存區中。

Windows PKI 讓組織能夠發佈自己的憑證。用戶端可以向內部網路上的 Windows PKI 要求和接收憑證。Windows PKI 可以更新或撤銷憑證。

如需相關資訊,請參閱下列主題:

信任的協力廠商憑證

協力廠商或商業性憑證是由協力廠商或商業性 CA 所產生,然後為您購買以用在網路伺服器上的憑證。自行簽署及 PKI 型憑證有一個問題,那就是因為憑證不會自動受到用戶端電腦或行動裝置所信任,所以您必須確定將該憑證匯入用戶端電腦及裝置上的信任根憑證儲存區中。協力廠商或商業性憑證則沒有這個問題。大部分的商業性 CA 憑證都已受到信任,因為憑證本來就位於受信任的根憑證儲存庫中。由於簽發者受到信任,憑證也會受到信任。使用協力廠商憑證可大幅簡化部署作業。

對於大型組織或必須公開部署憑證的組織來說,最佳解決方案是使用協力廠商或商業性憑證,雖然會有憑證的相關成本。對於中小型組織來說,商業性憑證可能就不是最佳的解決方案,而且您可能會決定使用其他可用的憑證選項之一。

選擇憑證類型

當您選擇要安裝的憑證類型時,需考慮數個因素。憑證必須已簽署為有效憑證。其可自行簽署,或由 CA 簽署。自行簽署的憑證有其限制。例如,不是所有的行動裝置都能讓使用者在信任的根憑證儲存區中安裝數位憑證。是否能在行動裝置上安裝憑證需視行動裝置製造商和行動服務業者而定。部分製造商和行動服務業者會停用對於信任根憑證儲存區的存取。在此情況下,不管是自行簽署的憑證或是來自 Windows PKI CA 的憑證都無法安裝於行動裝置上。

大部分的行動裝置都已預先安裝數個信任的協力廠商商業性憑證。若要獲得最佳的使用者體驗,請使用執行 Windows Mobile 6.0 的裝置及來自信任之協力廠商 CA 的數位憑證,來執行 Exchange ActiveSync 的憑證型驗證。

相關資訊

如需相關資訊,請參閱下列主題: