了解 Exchange 2007 中的自行簽署憑證

Exchange 2007
 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2009-12-23

數位憑證是一種電子檔案,其運作的方式類似於線上密碼,可驗證使用者或電腦的身分。憑證會用於建立 SSL 加密的通道,此通道可用於執行 Microsoft Exchange 之伺服器與用戶端電腦或裝置之間的通訊。數位憑證是由憑證授權單位 (CA) 發行的聲明,可證實憑證持有者的身分,並允許加密通訊。

數位憑證可以執行下列作業:

  • 驗證其持有者—人員、網站,甚至網路資源 (例如:路由器)—的確就是其所宣稱的身分。
  • 他們可協助保護在線上交換的資料不會遭到竊取或擅改。

數位憑證可由信任的協力廠商 CA 或 Microsoft Windows 公開金鑰基礎結構 (PKI) 使用憑證服務發出,或是自行簽署。當您利用 Microsoft Exchange Server 2007 來安裝 Client Access server role 或 Unified Messaging server role 時,若先前沒有任何數位憑證存在,即會安裝自行簽署的憑證。本文提供 Exchange 2007 中自行簽署憑證的概觀,以及應使用及不應使用憑證的時機。

如需 Exchange 2007 Client Access Server 安全性的相關資訊,請參閱了解 Client Access Server 的 SSL

當您利用 Client Access server role 安裝 Exchange 2007 時,即會建立自行簽署的憑證。自行簽署的憑證是設計來協助保護組織內 Exchange 2007 伺服器之間的通訊,另外也可在取得及安裝替代憑證之前,提供一個暫時的方法來加密用戶端通訊。自行簽署的憑證有兩個「主旨替代名稱」項目:一個代表 Client Access Server 的 NetBIOS 名稱,另一個則代表 Client Access Server 的網域全名 (FQDN)。雖然自行簽署的憑證可用於加密 Client Access Server 與其他 Exchange Server 2007 server role 之間的通訊,但不建議您將之與用戶端應用系統和裝置搭配使用。由於自行簽署憑證的限制,建議您以信任的協力廠商憑證或經 Windows PKI 簽署的憑證來取代自行簽署的憑證。

note附註:
除了 Mailbox server role 之外,每個 Exchange 2007 server role 上均會安裝自行簽署的憑證。

下列清單說明自行簽署憑證的一些限制。

  • 到期日:在 Exchange 2007 Service Pack 2 (SP2) 之前的舊版 Exchange 2007 中,自行簽署憑證從建立日期開始計算,有效期限為一年。在 Exchange 2007 SP2 或更新版本中,自行簽署憑證從建立日期開始計算,有效期限為五年。憑證到期時,必須使用 New-ExchangeCertificate 指令程式手動產生新的自行簽署憑證。
  • Outlook 無所不在:自行簽署的憑證無法與 Outlook 無所不在搭配使用。若您將會使用 Windows 無所不在,建議您從 Outlook PKI 或信任的商業協力廠商取得憑證。
  • Exchange ActiveSync:自行簽署的憑證無法用於加密 Microsoft Exchange ActiveSync 裝置與 Exchange 伺服器之間的通訊。建議您從 Windows PKI 或信任的商業協力廠商取得要與 Exchange ActiveSync 搭配使用的憑證。
  • Outlook Web Access:Microsoft Outlook Web Access 使用者將會收到提示,通知他們用來協助保護 Outlook Web Access 的憑證是不受信任的。發生此錯誤是因為憑證並非由用戶端信任的授權單位所簽署。使用者可以忽略此提示,而對 Outlook Web Access 使用自行簽署憑證。不過,建議您從 Windows PKI 或信任的商業協力廠商取得憑證。

在 Exchange 2007 SP2 之前的舊版 Exchange 2007 中,自行簽署憑證在安裝 Client Access server role 或在其建立之後開始計算,有效期限為一年。在 Exchange 2007 SP2 或更新版本中,自行簽署憑證從建立日期開始計算,有效期限為五年。即使自行簽署憑證已過期,仰賴預設自行簽署憑證的內部元件仍會繼續運作。不過,自行簽署憑證過期時,[事件檢視器] 中會記錄下列事件:

 

事件類型:錯誤

事件來源:MSExchangeTransport

事件類別:TransportService

事件識別碼: 12014

日期:Date

時間:Time

使用者:無

電腦:Server_Name

描述:

Microsoft Exchange 在本機電腦的個人儲存區中找不到含有網域名稱 Domain_Name 的憑證。因此,無法使用 FQDN 的 FQDN 參數來支援連接器「預設伺服器」的 STARTTLS SMTP 命令動詞。如果未指定連接器的 FQDN,則會使用電腦的 FQDN。請驗證連接器組態和安裝的憑證,確定有憑證含有該 FQDN 的網域名稱。如果此憑證存在,請執行 Enable-ExchangeCertificate -Services SMTP,以確定 Microsoft Exchange Transport 服務可以存取憑證金鑰。

如需相關資訊,請參閱技術支援服務中心 (http://go.microsoft.com/fwlink/?LinkID=34258)。

 

事件類型:警告

事件來源:MSExchangeTransport

事件類別:TransportService

事件識別碼: 12015

日期:Date

時間:Time

使用者:無

電腦:Server_Name

描述:

內部傳輸憑證過期。

指紋:Thumb_Print_Value

如需相關資訊,請參閱技術支援服務中心 (http://go.microsoft.com/fwlink/?LinkID=34258)。

最佳作法是在自行簽署憑證過期前就予以更新。您可以使用 Exchange 管理命令介面,藉由複製憑證來更新自行簽署的憑證。若要複製憑證,您可以先使用 Get-ExchangeCertificate 指令程式,為您的網域取得目前預設憑證的指紋。

note附註:
下列指令程式必須從本機 Exchange 2007 Client Access 伺服器執行,無法以遠端方式執行。
Get-ExchangeCertificate -DomainName CAS01.contoso.com

在 [服務] 之下,從憑證清單中選取含有 "W" 的憑證。例如,選取 IP.WS。"W" 表示此憑證已指派給 IIS。

然後,執行下列指令程式來複製憑證。

Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate

新複製的憑證接著將會以新的到期日 (您執行此指令程式之日期後的一年) 加上戳記。

有數種通訊協定和情況可以使用自行簽署的憑證來加密通訊。加入網域的 Outlook 用戶端可以使用自行簽署的憑證來加密電子郵件,以及用戶端與 Exchange 伺服器之間的通訊通道。如前所述,Outlook Web Access 使用者也可以使用自行簽署的憑證來加密通訊通道。您也可以使用自行簽署的憑證來加密不同 Active Directory 目錄服務站台中 Client Access Server 之間的通訊。此案例稱為 CAS-CAS 代理,需要修改登錄才能正確運作。

自行簽署的憑證不需對加入網域的 Microsoft Office Outlook 2007 用戶端進行任何其他組態設定即可運作。這些用戶端可以連線而不會收到任何安全性警告,因為他們用於連線至自動探索服務的 URL 均會參考 Client Access Server 的內部 FQDN。自行簽署的憑證具有對應至伺服器 NetBIOS 名稱的一般名稱。自行簽署的憑證也會包含伺服器的 FQDN,作為憑證 [主旨替代名稱] 欄位中儲存的其他 DNS 名稱。因為憑證尚未過期,而且所連線伺服器的 FQDN 儲存於憑證的 [主旨替代名稱] 中,所以加入網域的用戶端將可以順利連線至自動探索服務,而不會收到任何憑證警告。雖然用戶端無法從自行簽署的憑證開始往上驗證到信任的根,但是,當加入網域的用戶端使用自行簽署的憑證連線至自動探索服務時,系統允許這項驗證失敗。不過,不建議長期使用此自行簽署的憑證,因為它主要是用來舒緩取得正確憑證的急迫性,讓 Outlook 2007 用戶端可立即開始使用 Exchange 2007 功能。

在代理案例中,您必須先採取數個步驟,才能順利使用自行簽署的憑證來加密用戶端與伺服器之間的通訊。如需代理的相關資訊,請參閱了解 Proxy 與重新導向

您必須修改登錄,才能支援將自行簽署的憑證與代理搭配使用。因為大部分的用戶端應用程式 (例如 Exchange ActiveSync 和 Microsoft Office Outlook 2007) 都認為自行簽署的憑證是無效,所以您的用戶端會在連線至 Exchange 2007 Client Access Server 時收到提示。Exchange ActiveSync 和 Outlook Web Access 都支援從一個 Client Access Server 代理至其他 Client Access Server。若要在使用自行簽署的憑證時順利進行代理,您必須在網際網路對向 Client Access Server 上設定下列登錄機碼:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1
  • HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternallUntrustedCerts = 1

這些登錄機碼允許網際網路對向 Client Access Server 使用非網際網路對向 Client Access Server 上安裝的自行簽署憑證,連線至該非網際網路對向 Client Access Server。若網際網路對向 Client Access Server 使用自行簽署的憑證來進行用戶端通訊,則前述的所有限制都適用。

不正確地編輯登錄可能會造成嚴重問題,而需要重新安裝作業系統。 因不正確地編輯登錄而造成的問題可能無法解決。 在編輯登錄之前,請先備份重要資料。 

雖然自行簽署的憑證支援與加入網域的 Microsoft Office Outlook 2007 用戶端及 Outlook Web Access 搭配使用,但是除了加密組織內 Exchange 2007 伺服器之間的通訊以外,不建議您長期將自行簽署的憑證用於其他用途。若要支援許多 (若非全部) Client Access Server 功能 (例如,Exchange ActiveSync、Outlook Web Access 及 Outlook 無所不在),建議您從 Windows PKI 或信任的協力廠商 CA 取得憑證,並確定此憑證已匯入每部電腦或裝置上信任的根儲存區中。

important重要事項:
自行簽署的憑證不支援與 Outlook 無所不在或 Exchange ActiveSync 搭配使用。

如需 SSL、憑證及 Exchange 2007 的相關資訊,請參閱下列主題:

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.
顯示: