在exchange2010中,数字证书是必不可少的一部分,而且严重影响着exchange 2010服务的提供,证书CA在exchange 2010 中用于身份验证和加密。证书在Exchange 2010主要用途有:

·传输服务器之间的Smtp通信,使用传输层安全性TLS。

·客户端访问方式的HTTP通信,这里就包括outlook web app、outlook anywhere、exchange Activesync、exchange web服务如ecp控制台等。

·联合身份验证的HTTP通信

   本节实验展示Exchange2010在典型安装下证书需要做的一些步骤,有些功能的实现是不一定需要证书的,例如外网客户端的访问方式中OWA、POP3、IMAP4等没有做证书也可以访问,只是会有安全警告。但是像TMG防火墙发布HTTPS到外网时,使用“Exchange客户端访问发布规则”时,必须使用证书来解密。

1.安装CA。

2.创建exchange证书。

3.导入exchange证书。

4.为证书分配服务。

5.导出Exchange证书并导入ForefrontTMG 2010。

---------------------------------------------------------------------------------

实验拓扑:

wKiom1M9Z17wOl4LAAQx-eNj6hw731.jpg

如拓扑所示,是一个能够正常运行exchange邮件收发服务的最基本环境,没有采用Exchange高可用部署,也没有使用能够提高Exchange安全性的边缘传输服务器。Forefront TMG 2010处于内网边缘,直接接触外网,最内部网络起保护作用,并且TMG将发布Exchange Server的访问端口。使得Exchange Server可以在公网上通过多种方式来被客户端访问。

---------------------------------------------------------------------------------

1.部署企业CA。

wKioL1M9Z1mQExwiAAGIxIaye_c513.jpg

2.创建exchange证书,Exchange使用的是多域名证书。

wKiom1M9Z6HTYKfIAARr_8d1WXM586.jpg

wKioL1M9Z32hpB8lAAM3DgZwrCs165.jpg

wKiom1M9Z6iC6-A1AAM2zs5sa8A321.jpg

wKiom1M9aMrAe-8MAAQbt1a62Kw988.jpg

wKioL1M9aKihUF5OAAKsjx1-vJ0077.jpg

wKiom1M9aNfhe0KyAAOkerrvirA098.jpg

wKioL1M9aLax41sFAAOPoweGqio267.jpg

3.导入exchange证书。首先需要为Exchange服务器去申请一个证书,根据产生的二进制流代码。

wKiom1M9aRqB56J1AAcV0EO3wAY652.jpg

wKioL1M9aPiy3EKFAARBDJo1ibQ895.jpg

wKiom1M9aSSQLT9TAAJ_mm73RRs729.jpg

wKioL1M9aP_yWW35AAMgw5d7JhQ270.jpg

wKiom1M9aSvC6PKRAAREA7vf0-E014.jpg

wKioL1M9aQaz8oUeAALhfb6l4Ek170.jpg

wKiom1M9aTGQ9sHFAACSEpUUiB8303.jpg

申请到Exchange服务器证书之后,需要将证书导入到Exchange服务器中。

wKioL1M9aZvQlK5NAARkP435Vvs391.jpg

wKiom1M9acrxCrU_AANE78xs5a0602.jpg

wKioL1M9aarSvPkMAANjbu_KlX0462.jpg

wKiom1M9adWRz8AUAAQ82PHMzXQ385.jpg

4.为证书分配服务,证书在添加完之后,需要手动来执行证书分配,将证书分配给相应的邮件服务器(如果存在多台exchange服务器),将证书分配给邮件服务器的某些角色。

wKioL1M9afbwCInpAAS4Bn17kXU739.jpg

wKiom1M9aijAZth1AALV5CCD1qY635.jpg

wKioL1M9agfwXv8JAAMib_9rYWE125.jpg

wKiom1M9ajfgl40yAAM-81ZP8CM225.jpg

wKioL1M9ahPQnLvdAANesyCZ_1Q976.jpg

wKiom1M9akGgnJwNAANT10HVjKQ406.jpg

wKioL1M9ahvDwmJEAAQ0s4A7xTk065.jpg

wKiom1M9akmgBQPJAAaA-hpXNRI136.jpg

5.导出Exchange证书。如果网络环境中存在TMG服务器,并且是通过TMG来发布“exchange客户端访问发布规则”的情况下,需要执行证书导入,证书是由Exchange服务器上导出的带有私钥的密钥证书,而且将这一密钥导入TMG。这一步并不是必须步骤,如果HTTPS端口是通过硬件防火墙或者其他防火墙发布,就不需要导入证书。或者TMG在发布HTTPS端口是采用“非web服务器协议发布规则”时,也不需要证书的导入。

wKioL1M9aj6ChUS3AASgfPF1xis969.jpg

导出带有私钥的证书,这种后缀为PFX的证书是带有私钥的,必须要添加私钥密码。

wKiom1M9aoSBOZWyAANDuFTMpB4950.jpg

wKioL1M9amOik5qvAAOFdjlku9A814.jpg

拷贝证书至TMG服务器,将私钥证书导入到个人信任中去。

wKiom1M9aq7wxo8sAARBDJo1ibQ934.jpg

wKioL1M9ao3xO5mHAAJuOuqFFQI005.jpg

wKiom1M9arfhINYvAAFs5GSkfKw051.jpg

wKioL1M9apbQg1SyAAH4w6Jkdew536.jpg

wKiom1M9asDBGLdRAAFUycCcRy0339.jpg

wKioL1M9apmguRt1AAFBZGldioY863.jpg

wKioL1M9aqCyO8uvAAFROerz-WQ029.jpg

至此,证书在Exchange 2010中的基本应用就到这了。


本文出自 “XuTonglin” 博客,请务必保留此出处http://xutonglin.blog.51cto.com/8549515/1390146