安全套接字层是用来加密客户端和 服务器之间通讯的一种方法。Microsoft Exchange Server 2007 能够为所有的客户端访问协议部署SSL。这些协议包括Microsoft Exchange ActiveSync、Microsoft Office Outlook Web Access、Outlook Anywhere、POP3、 IMAP4、可用性服务、自动发现服务和Exchange Web 服务。在缺省情况下,当您在Exchange 2007中安装客户端访问 服务器角色,Exchange ActiveSync、Outlook Web Access、可用性服务和 Autodiscover服务都被配置为使用SSL。
  该系列文章将解释为什么我们建议您使用SSL来您的客户端通讯的安全,并为如何给您的客户端访问协议配置SSL提供指导。此外,也为如何配置客户端应用程序以使用SSL提供指导。
   什么是SSL
  SSL在客户端和 服务器之间创建一个安全的连接。对于一台安装了客户端访问 服务器角色的Exchange 2007 计算机,SSL被用来保护 服务器和客户端之间的安全可靠的通讯。客户端包括移动设备、组织内部网络的计算机、组织外部网络的计算机。这些客户端使用和没有使用虚拟专用网(×××)连接。
  在缺省情况下,当您安装好Exchange 2007 ,当您使用Outlook Web Access、Exchange ActiveSync和 Outlook Anywhere的时候,客户端的通讯被SSL加密。在缺省情况下,邮局协议3 (POP3)和Internet 邮件访问协议版本4rev1(IMAP4)没有被配置通过SSL来通讯。
  SSL要求您使用数字证书,下面将对几种不同类型的数字证书进行概述,除此之外,还提供如何配置使用这些类型证书的每个客户端访问协议的信息。
     证书的类型
  有三种主要的数字证书:自签名证书、Windows 公共密钥机构生成的证书和第三方证书。
  自签名证书
  当您安装Exchange 2007 客户端访问服务器角色的时候,会创建一张自签名的证书。该自签名证书增强组织内部Exchange 2007服务器之间的安全通讯,另外也为加密客户端通讯提供了一种临时方法直到获得并安装一张备用的证书。该自签名证书有两个主题备用名称:一个是客户端访问服务器的NetBIOS名称,另一个是客户端访问服务器的FQDN。尽管该自签名的证书能够被用来加密客户端访问服务器和其他Exchange 2007 服务器角色之间的通讯,我们不建议将它用在客户端应用程序和设备上。因为自签名证书的限制,我们建议您使用一张信任第三方的商业证书或者一张被Windows 公共密钥机构签名的证书来替换自签名的证书。
  注意:除了邮箱服务器角色以外,每个Exchange 2007 服务器角色会安装一张自签名的证书。
自签名证书的限制
  下面我们描述自签名证书的一些限制:
  · 过期时间:自签名证书在Exchange 2007 安装后的12个月终止,当一个证书终止后,必须使用New-ExchangeCertificate cmdlet 来手动生成一张新的自签名证书。
  · Outlook Anywhere:自签名证书不能和Outlook Anywhere 一起使用,如果您想使用Outlook Anywhere,我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书。
  · Exchange ActiveSync:自签名证书不能用来加密Microsoft Exchange ActiveSync 设备和Exchange 服务器之间的通讯,我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书为使用Exchange ActiveSync。
  · Outlook Web Access: Outlook Web Access用户将收到一个消息,该消息通知他们被使用的用来增强OWA安全的证书不被信任,产生该错误是因为,该证书不是被客户端信任的机构签名, 用户可以忽略该消息,并为OWA使用一张自签名的证书,但是,我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书。
   数字证书概述
  数字证书是电子文件,象在线的密码一样工作,用来验证用户或者计算机的身份。它们被用来为客户端通讯创建SSL加密的通道。证书是一种被证书授权机构(CA)颁发的数字声明,该机构担保证书持有人的身份,并让这些团体使用加密以一种安全的方式进行通讯。
  数字证书执行下面这些:
  · 它们认证那些持有者—人、网站、甚至象路由器这样的网络资源―真正是他们所声称的人或者物。
  · 它们保护被在线交换的数据不被窃取或者篡改
  数字证书能够被信任的第三方CA或者使用证书服务的Microsoft Windows公共密钥机构 (PKI)颁发,或者他们是自签名的。每种证书都有好处和坏处,每种数字证书都是防篡改和不能被伪造。
  证书能够颁发给几种用途,这些用途包括网络用户认证、网络服务器认证、Secure/MIME (S/MIME)、Internet Protocol security (IPsec)、传输层安全 (TLS)和代码签名。
  一张证书包含一个公钥,并将该公钥附于持有对应私钥的身份的人、计算机或者服务。在传输之前,公钥和私钥被客户端和服务器用来加密数据。对于基于Windows的用户、计算机和服务,当在信任根证书存储中有一份根证书的拷贝同时证书包含一个有效的证书路径时,信任某个CA被建立。为了让证书有效,证书一定不能被吊销并且有效期也一定不能过期。