了解客户端访问服务器的 SSL

 

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2007-03-23

安全套接字层 (SSL) 是确保客户端与服务器之间通信安全的一种方法。对于安装了客户端访问服务器角色的运行 Microsoft Exchange Server 2007 的计算机，SSL 有助于保护服务器和客户端之间的通信。客户端包括移动设备、组织网络中的计算机以及组织网络外的计算机。其中包括有虚拟专用网 (VPN) 连接和没有虚拟专用网 (VPN) 连接的客户端。

默认情况下，安装 Exchange 2007 时，如果使用 Outlook Web Access、Exchange ActiveSync 和 Outlook Anywhere，客户端通信使用 SSL 进行加密。默认情况下，邮局协议版本 3 (POP3) 和 Internet 邮件访问协议版本 4 rev1 (IMAP4) 未配置为通过 SSL 进行通信。

SSL 要求使用数字证书。本主题概述了不同类型的数字证书，以及有关如何将客户端访问服务器配置为使用这些类型数字证书的信息。

数字证书概述

数字证书是一种电子文件，其作用如同在线密码一样，可验证用户或计算机的身份。使用它们可以创建用于客户端通信的 SSL 加密通道。证书是由证书颁发机构 (CA) 颁发的数字声明，由 CA 证明证书持有者的身份并使参与各方能通过加密以安全方式进行通信。

数字证书的作用如下：

• 它们验证其持有者（人员、网站甚至是路由器之类的网络资源）确实是其声称的某人或某物。

• 它们保护联机交换的数据不被偷窃或篡改。

数字证书可由受信任的第三方 CA 或 Microsoft Windows 公钥基础结构 (PKI) 通过使用证书服务颁发，也可以通过自签名产生。每种类型的证书都有优点和缺点。每种类型的数字证书都是防篡改的，并且无法伪造。

可针对多种功能颁发证书。这些功能包括 Web 用户身份验证、Web 服务器身份验证、安全/多用途 Internet 邮件扩展 (S/MIME)、Internet 协议安全 (IPsec)、传输层安全性 (TLS) 和代码签名。

证书包含一个公钥并且将此公钥与持有相应私钥的个人、计算机或服务的身份连接在一起。客户端和服务器使用这些公钥和私钥在传输数据前对其进行加密。对于基于 Microsoft Windows 的用户、计算机和服务，如果受信任根证书存储中存在根证书副本并且该证书包含有效的证书路径，那么它们就建立了对该 CA 的信任。未被吊销并且未超过有效期的证书才是有效的证书。

证书类型

数字证书有三个主要类型：自签名证书、Windows PKI 生成的证书以及第三方证书。

自签名证书

安装 Exchange 2007 时，会自动配置自签名证书。自签名证书由创建它的应用程序签署。证书的主题和名称是一致的。颁发者和主题在证书上定义。自签名证书允许一些客户端协议使用 SSL 进行通信。Microsoft Exchange ActiveSync 和 Office Outlook Web Access 可使用自签名证书建立 SSL 连接。Outlook Anywhere 不能与自签名证书一起使用。自签名证书必须手动复制到客户端计算机或移动设备的受信任根证书存储中。如果客户端通过 SSL 连接到服务器，并且该服务器包含自签名证书，系统将提示客户端验证该证书是否由受信任的颁发机构颁发。客户端必须明确信任颁发证书的颁发机构。如果客户端继续，SSL 通信可继续。

通常，由于经费问题，或者由于管理员缺乏创建自己的证书层次结构方面的经验和知识，也可能是这两个原因共同所致，较小组织会决定不使用第三方证书或不安装自己的 PKI 来颁发自己的证书。如果使用自签名证书，则成本低且安装简单。但是，如果使用自签署证书，为证书生命周期管理、续订、信任管理和吊销建立基础结构要更加困难。

Windows 公钥基础结构证书

证书的第二种类型是 Windows PKI 生成的证书。PKI 是由数字证书、证书颁发机构和注册颁发机构 (RA) 组成的系统，该系统可以通过使用公钥加密来验证和辨认电子交易中涉及的各方的有效性。在使用 Active Directory 的组织中实现 CA 时，需要为证书生命周期管理、续订、信任管理和吊销提供基础结构。但是，部署服务器和基础结构从而创建和管理 Windows PKI 生成的证书会产生额外开销。

部署 Windows PKI 需要使用证书服务，可通过“控制面板”上的“添加或删除程序”进行安装。可以将证书服务安装在域中的任何服务器上。

如果从加入域的 Windows CA 获得证书，则可以使用该 CA 请求或签署证书，以便颁发给网络中您自己的服务器或计算机。这使您能够使用与第三方证书供应商相似的 PKI，但成本较低。尽管无法像其他类型的证书那样公开部署这些 PKI，但在使用 PKI 时，CA 将使用私钥来签署请求者的证书，并对请求者进行验证。此 CA 的公钥是该证书的一部分。将此证书放入受信任根证书存储中的服务器可使用该公钥解密请求者证书，并验证请求者的身份。

部署 PKI 生成的证书的步骤与部署自签名证书所需的步骤相似。还必须将从 PKI 得到的受信任根证书的副本安装到计算机或移动设备的信任根证书存储中，以便能够从这些计算机或移动设备建立到 Microsoft Exchange 的 SSL 连接。

通过 Windows PKI，组织可发布自己的证书。客户端可通过内部网络从 Windows PKI 请求或接收证书。Windows PKI 可续订或吊销证书。

有关详细信息，请参阅下列主题：

• 有关证书的详细信息，请参阅 Public Key Infrastructure for Windows Server 2003。

• 有关实现 Windows PKI 的最佳实践的详细信息，请参阅 Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure。

• 有关如何部署基于 Windows 的 PKI 的详细信息，请参阅 Windows Server 2003 PKI Operations Guide。

受信任的第三方证书

第三方证书或商业证书是由第三方或商业 CA 生成然后由使用者购买以便在网络服务器上使用的证书。自签名证书和基于 PKI 的证书存在一个问题：因为客户端服务器或移动设备不会自动信任证书，因此必须确保将证书导入到客户端计算机和设备上的受信任根证书存储中。第三方证书或商业证书没有此问题。大多数商业 CA 证书都已获得信任，因为其证书已驻留在受信任的根证书存储中。由于颁发者受到信任，因此证书也受到信任。使用第三方证书可以极大地简化部署。

对于较大型的组织或必须公开部署证书的组织来说，即使使用第三方证书或商业证书会需要开销，使用这两种类型的证书仍然是最佳解决方案。对于中小型组织，商业证书可能不是最佳解决方案，您可能决定选择使用其他可用的证书。

选择证书类型

选择要安装的证书类型时，应考虑几个因素。证书必须签署才能有效。可以自签名或由 CA 签署。自签名证书有限制。例如，并非所有移动设备都允许用户在受信任根证书存储中安装数字证书。是否能在移动设备上安装证书取决于移动设备生产商和移动运营商。一些生产商和移动运营商禁止对受信任根证书存储的访问。在这种情况下，无论是自签名证书，还是来自 Windows PKI CA 的证书都不能在移动设备上安装。

大部分移动设备预安装了多个受信任第三方商业证书。为了获取最佳用户体验，通过使用运行 Windows Mobile 6.0 的设备和由受信任第三方 CA 颁发的数字证书，实现对 Exchange ActiveSync 的基于证书的身份验证。

详细信息

有关详细信息，请参阅下列主题：

• 管理客户端访问服务器的 SSL

• 如何配置 SSL 证书以使用多个客户端访问服务器主机名称

• 如何在 Windows Mobile 驱动的设备上安装证书