管理Exchange 2007 证书 （二）

ezeke

　　管理Exchange 2007 证书 （一）
　　怎样信任一个自签名的证书
　　从第一部分的介绍，我们看到Exchange 可以在内部使用自签名证书。为了让客户端在访问CAS的时候不报有关证书的安全警告，有必要让用户信任这个自签名证书。记住，让用户忽视安全警告绝对不是个好注意。
　　图一 显示了我们访问OWA时，不信任的证书。

　　
　　Figure 1: 自签名证书不被信任
　　有几种方法让用户信任自签名证书。我只说一种用户不需要任何动作的方法，使用组策略发布证书。每次更新证书的时候，这个步骤都要做一遍。
　　1.       导出自签名证书
　　为了导出自签名证书，你可以使用cmdlet Export-ExchangeCertificate。因为导出包含了私钥，所以你要设个密码，就像下图中一样，设定一个安全字符串变量 $pwd。 只有当你设定了私钥是可导出的时候，这个自签名证书才可以导出。

　　Figure 2: Export Self-Signed certificate
　　2.       Publish Self-Signed certificate as trusted via Group Policy
　　Figure 2: 导出自签名证书
　　2.       使用组策略发布自签名证书
　　通过组策略来发布一个导出的证书到用户的个人存储中是可能的。下面的例子中，我在域级别上新建了一个组策略

　　
　　Figure 3: 新建并链接一个新的GPO到域
　　我给新的GPO起了个名字叫 信任自签名证书，我并没有使用任何GPO源.

　　
　　Figure 4: 命名新的GPO
　　因为我想要导入一个到处过的自签名证书，我依次选择 用户配置，策略，Windows设置，公钥策略，右键点击 信任的人，然后开始证书导入向导

　　
　　Figure 5: 启动证书导入向导
　　选中刚刚用 Export-ExchangeCertificate导出的证书

　　
　　Figure 6: 选中一个文件导入
　　下一步，输入导出私钥时使用的密码.

　　
　　Figure 7: 输入私钥的保护密码
　　证书被放置在用户的个人证书存储中.

　　
　　Figure 8: 选择证书被放置的位置
　　点击完成.

　　
　　Figure 9: 完成证书导入
　　弹出了一个框，告诉我们证书导入成功完成

　　
　　Figure 10: The import was successful
　　下次用户登陆，或者组策略刷新后，这个自签名证书就会被标注成信任了。你可以再访问OWA的时候看到。

　　
　　Figure 11: 自签名证书被信任
　　从公共CA得到证书
　　尽管Exchange可以使用自签名证书，客户端也能信任它，但是你要记住前一部分写的：
　　1. 自签名证书有效期只能是一年
　　2. 自签名证书只被颁发者信任
　　3. 自签名证书不支持 Outlook Anywhere 和 Exchange ActiveSync
　　因此，我建议你从CA申请一张证书。你可以选择自己创建CA，或者从公共的CA上申请。微软建议在下述情况下从公共CA上申请证书：
　　· 外部访问Exchange (POP, IMAP, Outlook Web Access, Outlook Anywhere, Exchange ActiveSync, Autodiscover)
　　· 如果你想要和伙伴组织建立域安全（setup Domain security with partner organizations ）。
　　如果你从公共CA上申请证书，会省不少麻烦事，比如让没有加入域的用户信任CA，伙伴组织要跟你的Exchange环境配置域安全。
　　微软有一篇KB （为 Exchange 2007 和 Communications Server 2007 统一的 Communications 证书伙伴 KB929395），上面列出了可以为Exchange和OCS提供UCC证书的CA。
　　Didda注：UCC证书即为SAN证书，多主机名证书。
　　什么是公共CA？
　　公共的CA，通常是根CA，一个被主流的浏览器和应用程序信任的证书颁发者，因此，它不需要被配置信任。当你从考虑从公共的CA申请证书的时候，你要考虑这个CA是否被你现在使用的应用程序信任，也要考虑这个证书是不是你需要的（考虑名字，有效期等）
　　证书中要包含的名字
　　Looking at a certificate, and why a certificate is not accepted to be used for encryption and authentication by Exchange, it usually boils down to any of the following four reasons:
　　我们来看，当你一个证书不能被用来为Exchange加密和做认证的时候，问题主要集中在以下方面：
　　1. 安全证书是被一个不信任的CA颁发的。
　　2. 证书被颁发机构撤消
　　3. 证书过期
　　4. 证书上的名字和期望的名字不匹配
　　一些应用程序，比如OWA，仍然允许你使用一个不被信任的证书，或者这个证书是颁发给另外的站点的，我们并不推荐忽略这些警告，因为这可能有些人想要欺骗你，进而拦截你的数据。下面是IE7 所发出的警告。

　　
　　Figure 12: 证书安全警告
　　如果证书有问题，Outlook Anywhere 和 Exchange ActiveSync 就不能正常工作 (Figure 13)

　　
　　Figure 13: 因为证书包含的名字和目的站点的名字不匹配，Outlook Anywhere不能够连接
　　让我们来看看CAS的证书要包含哪些名字。
　　· CAS主机的NetBIOS名字
　　· CAS的FQDN名
　　· Exchange 自动发现域名
　　· 发布Outlook Web Access, Outlook Anywhere, Exchange ActiveSync, Pop, and/or IMAP 到外部时用的名字。
　　HuB/Edge 所要使用的安全证书需要包含的名字
　　· Hub Server 的 FQDN 名。
　　· 所有接受域的域名。
　　至于UM服务器，你只需要将UM的FQDN名加入就可以了
　　模拟场景
　　假象你有如图所示的环境
　　.

　　
　　Figure 14: Exchange 组织示例
　　在这个环境中，你需要通过ISA发布OWA和 outlook Anywhere, 邮件通过Edge 服务器发送和接收，ISA和Edge 都处在DMZ区域，Exchange 负责两个Domain：ProExchange.Global 和 BelgianBeers.Rock。你已经同意和兄弟组织 Sunshine.Edu 建立 Domain Security. EdgeSync 负责把设置在Hub和Edge之间同步。你想要申请两个证书，一个用来发布 OWA和Outlook Anywhere, 另外一个用来和Sunhine.Edu 建立 domain security.
　　Table 1 在这个环境中的Exchange服务器和它的角色。
FQDN Exchange Server        Exchange Server 2007 Sp1 (RU5) roles installed     Edge.ProExchange.dmz        Edge Server role     Ex2007EE.ProExchange.Global        Mailbox + Client Access + Hub Transport server role     Ex2007SE.ProExchange.Global        Unified Messaging server role　　.Table 1
　　表二概括了访问Exchange 要用到的 URL.
Connecting to        Connecting with HTTP(s)        Connecting using RPC     Outlook Web Access        https://webmail.proexchange.global　　https://webmail.belgianbeers.rock
https://Ex2007EE.proexchange.global     Outlook Anywhere        https://webmail.proexchange.global        https://Ex2007EE.proexchange.global     Free and Busy information        https://webmail.proexchange.global/EWS/Exchange.asmx        https://Ex2007EE.proexchange.global/EWS/Exchange.asmx     Download OAB        http://webmail.proexchange.global/OAB        http://Ex2007EE.proexchange.global/OAB     Change Unified Messaging settings        https://webmail.proexchange.global/UnifiedMessaging/Service.asmx        https://Ex2007EE.proexchange.global UnifiedMessaging/Service.asmx     Autodiscover        https://autodiscover.proexchange.global/autodiscover/autodiscover.xml　　https://autodiscover.belgianbeers.rock/autodiscover/autodiscover.xml
https://Ex2007EE.proexchange.global/Autodiscover/autodiscover.xml　　Table 2: URL's
　　通过cmdlet, 我们也能够得到 Exchange web service 提供的URL.

　　Figure 15: 内部和外部的URL配置
　　Table 3 DNS上要注册的信息
Name        Type        Data     Autodiscover.ProExchange.Global        Alias (CNAME)        Webmail.ProExchange.Global     Autodiscover.BelgianBeers.Rock        Alias (CNAME)        Webmail.BelgianBeers.Rock     Webmail.ProExchange.Global        Host (A)        External IP ISA Server     Webmail.BelgianBeers.Rock        Host (A)        External IP ISA Server     ProExchange.Global        Mail Exchanger (MX)        [10] Edge.ProExchange.Dmz     BelgianBeers.Rock        Mail Exchanger (MX)        [10] Edge.ProExchange.Dmz     Edge.ProExchange.Dmz        Host (A)        External IP Edge Server     Ex2007SE.ProExchange.Global        Host (A)        10.10.10.102     Ex2007EE.ProExchange.Global        Host (A)        10.10.10.101　　
　　Table 3: DNS 上注册的信息
　　为了安全的访问OWA和发布 Outlook Anywhere，下面的名字会被内部CAS的证书使用，并且要导出到ISA上
　　· Common Name = Webmail.ProExchange.Global, Outlook Anywhere 要求common name 和外部主机名要一致。

　　· Subject>　　Webmail.ProExchange.Global
　　Webmail.BelgianBeers.Rock
　　Autodiscover.ProExchange.Global
　　Autodiscover.BelgianBeers.Rock
　　Ex2007EE.ProExchange.Global
　　Ex2007EE
　　Ex2007SE.ProExchange.Global
　　Ex2007SE
　　To enable EdgeSync, offer opportunistic TLS and configure domain security with your partner organization Sunshine.Edu, you need a certificate for your Microsoft Exchange Edge server role with the following names:
　　· Common Name = Edge.ProExchange.Dmz

　　· Subject>　　ProExchange.Global
　　BelgianBeers.Rock
　　在第三部分，我会提供你详细的步骤来创建一个包含多主机名的证书，并且教你如何导入并启用它