在exchange2010中,数字证书是必不可少的一部分,而且严重影响着exchange 2010服务的提供,证书CA在exchange 2010 中用于身份验证和加密。证书在Exchange 2010主要用途有: ·传输服务器之间的Smtp通信,使用传输层安全性TLS。 ·客户端访问方式的HTTP通信,这里就包括outlook web app、outlook anywhere、exchange Activesync、exchange web服务如ecp控制台等。 ·联合身份验证的HTTP通信 本节实验展示Exchange2010在典型安装下证书需要做的一些步骤,有些功能的实现是不一定需要证书的,例如外网客户端的访问方式中OWA、POP3、IMAP4等没有做证书也可以访问,只是会有安全警告。但是像TMG防火墙发布HTTPS到外网时,使用“Exchange客户端访问发布规则”时,必须使用证书来解密。 1.安装CA。 2.创建exchange证书。 3.导入exchange证书。 4.为证书分配服务。 5.导出Exchange证书并导入ForefrontTMG 2010。 --------------------------------------------------------------------------------- 实验拓扑: 如拓扑所示,是一个能够正常运行exchange邮件收发服务的最基本环境,没有采用Exchange高可用部署,也没有使用能够提高Exchange安全性的边缘传输服务器。Forefront TMG 2010处于内网边缘,直接接触外网,最内部网络起保护作用,并且TMG将发布Exchange Server的访问端口。使得Exchange Server可以在公网上通过多种方式来被客户端访问。 --------------------------------------------------------------------------------- 1.部署企业CA。 2.创建exchange证书,Exchange使用的是多域名证书。
3.导入exchange证书。首先需要为Exchange服务器去申请一个证书,根据产生的二进制流代码。 申请到Exchange服务器证书之后,需要将证书导入到Exchange服务器中。 4.为证书分配服务,证书在添加完之后,需要手动来执行证书分配,将证书分配给相应的邮件服务器(如果存在多台exchange服务器),将证书分配给邮件服务器的某些角色。 5.导出Exchange证书。如果网络环境中存在TMG服务器,并且是通过TMG来发布“exchange客户端访问发布规则”的情况下,需要执行证书导入,证书是由Exchange服务器上导出的带有私钥的密钥证书,而且将这一密钥导入TMG。这一步并不是必须步骤,如果HTTPS端口是通过硬件防火墙或者其他防火墙发布,就不需要导入证书。或者TMG在发布HTTPS端口是采用“非web服务器协议发布规则”时,也不需要证书的导入。 导出带有私钥的证书,这种后缀为PFX的证书是带有私钥的,必须要添加私钥密码。 拷贝证书至TMG服务器,将私钥证书导入到个人信任中去。 至此,证书在Exchange 2010中的基本应用就到这了。
|