本文分步介绍了如何在 Exchange Server 2003 中安装和使用证书。Exchange Server 2003 包含多个虚拟服务器,这些服务器负责为多个标准的 Internet 服务提供入站和出站连接服务。这些服务是:
  • 邮局协议版本 3 (POP3)
  • Internet 消息访问协议版本 4 (IMAP4)
  • 简单邮件传输协议 (SMTP)
  • 网络新闻传输协议 (NNTP)
您可以在这些虚拟服务器上安装证书,以允许使用加密通信。

注意:Exchange Server 2003 还包含“超文本传输协议”(HTTP) 虚拟服务器。不过,您要使用“Internet 服务管理器”配置该虚拟服务器。本文不对此过程加以说明。 

要求

下面概要列出推荐使用的硬件、软件、网络基础结构和 Service Pack:
  • 带有 Service Pack 3 (SP3) 的 Microsoft Windows 2000 Server
  • Microsoft Active Directory 目录服务
  • Exchange Server 2003
  • Microsoft Outlook Express 5 或更高版本(用于测试)
本文假定您熟悉下列主题:
  • Exchange 系统管理器
  • TCP/IP
  • 如何配置和使用“Microsoft 网络监视器”,如何设置捕获筛选器

什么是证书?

证书有助于对双方通过公共网络建立的连接进行安全保护。证书是经过数字签名的声明,其中包含公钥和所有者的名称或证书的主题。证书也由颁发主体或证书颁发机构 (CA) 签名。如果 CA 在证书上签名,则 CA 确认与该证书的公钥相关的私钥归证书中指定的用户所有。

证书提供了一种机制,用来在公钥与拥有对应私钥的实体之间建立关系。大多数证书基于“国际电信联盟电信标准化分部”(ITU-T) X.509 版本 3 的标准。

您可以使用证书执行以下任务:
  • 在两名用户或两台计算机之间提供增强了安全的通信,以帮助防止他人在未经授权的情况下查看传输的邮件或文件内容。
  • 对电子交换(如文件传输或邮件)进行数字签名,以验证它在传输过程中是否未被更改。
  • 验证用户的身份或计算机的身份。
  • 对存储系统(如硬盘或磁带)中的数据进行加密。
  • 证明诸如设备驱动程序的文件已经过批准,并且未在测试过程与安装过程之间进行过更改。
通常,证书使用 .cer 扩展名,它的属性与计算机上其他文件的属性相同。一般说来,证书驻留在计算机的证书存储区。Windows 2000 包含来自多个 X.509 版本 3 公共 CA(如 VeriSign、Thawte 和 SecureNet)的证书。Windows 2000 也有内置的“证书服务器”服务,它与 X.509 版本 3 兼容。“证书服务器”服务允许您创建自己的 CA,并分发既在您的组织内使用也由外部客户端或计算机使用的证书。在部署证书时,此功能给您带来了一定的灵活性。 

如何在虚拟服务器中使用证书

邮局协议版本 3 虚拟服务器和 Internet 消息访问协议版本 4 虚拟服务器
POP3 虚拟服务器和 IMAP4 虚拟服务器提供 POP3 客户端或 IMAP4 客户端(如 Microsoft Outlook Express)从 Exchange Server 2003 计算机获取电子邮件所需的服务。如果连接速度非常缓慢,并且用户不需要 Outlook 客户端程序的完整功能,您可能希望使用 POP3 或 IMAP4 从 Exchange Server 2003 获取电子邮件。

不过,POP3 和 IMAP4 使用明文发送邮件和进行身份验证。如果向 POP3 虚拟服务器或 IMAP4 虚拟服务器添加证书,则可提供“安全套接字层”(SSL) 加密。在使用 SSL 加密时,身份验证序列和邮件正文在通过公共网络传输的整个过程中都会经过加密。

简单邮件传输协议虚拟服务器
SMTP 虚拟服务器独立提供或与 SMTP 连接器协同提供下列服务:
  • 收集邮件、向外部 SMTP 服务器发送邮件、接收来自 SMTP 服务器的邮件。
  • 在 Exchange Server 路由组之间路由邮件。
  • 接收来自 POP3/IMAP4 客户端的邮件。
您可能无法通过使用 Exchange SMTP 连接器和 SSL 加密来配置通过外部域发送和接收邮件的 SMTP 虚拟服务器。Internet 上的大多数 SMTP 服务器不支持 SSL 加密;不过,如果使用 SMTP 作为 POP3 和 IMAP4 电子邮件发送机制,则必须对这些事务加密。如果已经为 POP3 或 IMAP4 电子邮件收集过程配置了 SSL,则更是如此。

Microsoft 建议您创建两个单独的 SMTP 虚拟服务器用于 Exchange Server 路由组和 POP3 及 IMAP4 电子邮件发送。如果为这两个虚拟服务器配置证书和 SSL 加密,则可使用默认的 SMTP 虚拟服务器通过 SMTP 连接器连接到外部域。

超文本传输协议虚拟服务器
通常,您在“超文本传输协议”(HTTP) 虚拟服务器中使用证书为使用 Microsoft Outlook Web Access (OWA) 检索电子邮件的用户提供支持。为此,最好获得第三方证书。有了第三方证书,用户即可从公共计算机(例如网吧中的计算机)连接到他们的邮箱。

网络新闻传输协议虚拟服务器
如果符合以下条件,则可在 NNTP 虚拟服务器中使用证书:
  • 您的客户端使用 NNTP 连接到 Exchange Server 2003 公用文件夹。
  • 您使用 NNTP 在组织之间复制公用文件夹。
通常,与 Usenet 新闻组服务器的连接不支持身份验证或加密。如果在 NNTP 中使用证书,则必须为此目的创建另一个 NNTP 虚拟服务器。

如何选择证书源

当您获取要在虚拟服务器中使用的证书时,您有三个选择:
  • 您可以从外部 CA 购买单个证书。
  • 您可以成为外部 CA 的从属 CA。
  • 您可以实现和维护自己的根 CA 结构。
您可能需要组合使用上述方法。例如,您可以创建自己的 CA 结构,并从外部 CA 购买单个证书。

如何从外部证书颁发机构购买证书

您可以向外部 CA(例如,VeriSign 或 Thawte)申请随 Windows 2000 安装的某个根证书验证的证书。如果符合以下条件,则可从外部 CA 购买单个证书:
  • 您希望向一般的 Internet 用户提供增强型安全连接(例如,在电子商务环境中)。
  • 您希望支持必须从公共计算机(例如,网吧中的计算机)进行连接的用户。
  • 您不能或不希望支持自己的 CA 环境。
通常,证书成本大约600 美元起,这使它成为获取一个证书最便宜的方式。例如,如果您按此方式购买一个证书,那么所有员工都能从运行 Windows 和 Internet Explorer 4.0 及更高版本的任何计算机通过增强型安全连接访问他们的邮箱。

如何成为外部证书颁发机构的从属证书颁发机构

要完成这一步,您应将自己设置为经过外部 CA 认证的从属 CA。这意味着,您可以颁发多个受信任的证书(因为它们链接到可公开得到的证书),而不必单独购买每个证书。您仍然必须维护自己的 CA 结构。审批过程需要三到六个月,最低费用为 50,000 美元。例如,Microsoft 是经过 VeriSign 认证的从属 CA。

如果符合以下条件,则可考虑成为从属 CA:
  • 您希望提供许多可公开得到的证书;例如,用于代码签名的设备驱动程序。
  • 您可以提供实现和管理从属 CA 所需的专业技能和支持。
  • 您希望能够自由创建、管理和吊销公用证书。

如何实现和维护您自己的根证书颁发机构结构

如果符合以下条件,则可创建您自己的根 CA 结构:
  • 您可以创建可靠且有效的根 CA,并且具有相应的设备。
  • 您只向本组织的用户或数量有限的外部客户端、客户或计算机提供连接。
  • 您使用证书识别用户,方法是将证书与特定登录帐户关联。
  • 您希望在创建、分配和吊销证书方面获得最大的自由度和灵活性,而不必向任何外部组织呈报。
如果您实现和维护 CA 结构(不是小操作),它需要颁发和维护证书的计算机始终可用。有关如何安装和配置证书服务器的更多信息,请参阅 Microsoft Windows 2000 Server Resource Kit 和 Windows 2000 帮助。

为了满足需求,您可能考虑同时使用外部 CA 和您自己的 CA。例如,您可以将外部 CA 用于公共电子商务网站,在员工通过 Internet 连接到 Exchange Server 计算机时,使用他们自己的 CA 验证员工身份。

在您获得了证书或设置了自己的 CA 后,您必须在 Exchange Server 虚拟服务器上安装证书。对除 HTTP 虚拟服务器以外的所有其他类型的服务器来说,此过程基本相同。要在 POP3、IMAP4、SMTP 和 NNTP 虚拟服务器上安装证书,请使用“Exchange 系统管理器”。要配置 HTTP 虚拟服务器,请使用“Internet 服务管理器”(本文不对此过程加以说明)。
如何从外部证书颁发机构申请证书

 

此过程说明了在必须准备证书申请并且要向外部 CA 发送证书申请的情况下,如何从外部 CA 安装证书。您必须按单独的顺序处理证书文件。

注意:以下步骤只适用于 POP3、IMAP4、SMTP 和 NNTP。本文不介绍如何为 SSL 配置 HTTP。
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 如果打开了“显示管理组”选项,则展开“管理组”,然后展开第一个管理组(此处的第一个管理组 是您的管理组的名称)。

    注意:要显示管理组,请右键单击 您的组织,单击“属性”,单击“显示管理组”复选框,将其选中,单击“确定”两次,然后重新启动“Exchange 系统管理器”。
  3. 展开“服务器”,展开要配置的 Exchange Server 容器,然后展开“协议”容器。
  4. 展开要配置的每个协议,右键单击“默认的 协议名称 虚拟服务器”对象,然后单击“属性”。
  5. 单击“访问”选项卡,然后单击“证书”。
  6. 在“Web 服务器证书向导”中,单击“下一步”,单击“新建证书”,然后单击“下一步”。
  7. 单击“现在准备证书请求,但稍侯发送”,然后单击“下一步”。
  8. 在“名称”框中为证书键入相应的名称,或保留“默认的 协议名称 虚拟服务器”的默认设置。
  9. 在“位长”列表中,单击要使用的位长,然后单击“下一步”。

    注意:较长的密钥会影响性能,因此也更为昂贵。
  10. 在“组织”框和“组织单位”框中,键入您要向其申请证书的 CA 的组织和组织单位信息,然后单击“下一步”。

    CA 的网站上通常会提供此信息,您在向 CA 注册时也会收到此信息。
  11. 在“公用名”框中,键入您站点的公用名,然后单击“下一步”。

    注意:如果您要允许从 Internet 访问,此名称必须是可以从外部解析的完全合格的域名 (FQDN)。此 FQDN 必须映射到链接到虚拟服务器的 IP 地址。
  12. 在“国家(地区)”列表中,单击您的国家或地区名称。
  13. 在“省/自治区”框和“市县”框中,键入您组织的相应信息,然后单击“下一步”。
  14. 在“文件名”框中,执行以下操作之一:
    • 键入要创建证书的位置的名称和路径。
    • 保留此框中的默认文件名。
  15. 单击“下一步”。
  16. 查看“请求文件摘要”页上的信息。如果发现任何错误信息,请单击“上一步”,直到到达必须更正的页面,然后单击“下一步”,直到返回“请求文件摘要”页,再单击“下一步”。
  17. 最后一页确认已经创建了具有指定文件名的证书。默认设置为 驱动器名:\certreq.txt
  18. 单击“完成”。

如何从外部证书颁发机构安装证书

向 CA 发送您在上一节中创建的证书申请文件。或者,您的 CA 也可能有基于 Web 的界面,您可以从该界面提交证书申请。您将收到扩展名为 .cer 的文件。收到此文件后,请重新启动“Web 服务器证书向导”,以安装此证书。为此,请按照下列步骤操作:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 如果打开了“显示管理组”选项,则展开“管理组”,然后展开第一个管理组(此处的“第一个管理组”是您的管理组的名称)。

    注意:要显示管理组,请右键单击 您的组织,单击“属性”,单击“显示管理组”复选框,将其选中,单击“确定”两次,然后重新启动“Exchange 系统管理器”。
  3. 展开“服务器”,展开要配置的 Exchange Server 容器,然后展开“协议”容器。
  4. 展开要配置的每个协议,右键单击“默认的 协议名称 虚拟服务器”对象,然后单击“属性”。
  5. 单击“访问”选项卡,然后单击“证书”。
  6. 在“Web 服务器证书向导”重新启动并且收到您有挂起的证书申请的通知后,单击“下一步”。
  7. 在“挂起的证书申请”页上,单击“处理挂起的请求并安装证书”,然后单击“下一步”。
  8. 在“处理挂起的请求”框中,键入从外部 CA 收到的证书的路径。
  9. 查看“证书摘要”页,然后单击“下一步”。

    证书中所含的信息包括证书颁发者、证书到期时间、证书用途。其中还包括出现在“证书摘要”页上的证书友好名称。
  10. 收到已在虚拟服务器上成功安装证书的通知后,单击“完成”。

如何从 Microsoft 证书服务器安装证书

如果您已在 Windows 2000 上将“证书服务器”服务安装为根 CA 或从属 CA,则可直接向联机 CA 发送证书服务器申请。

注意:只有在 Active Directory 中将 CA 安装为企业 CA(而非独立 CA)时,才能向联机 CA 发送申请。
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 如果打开了“显示管理组”选项,则展开“管理组”,然后展开第一个管理组(此处的第一个管理组 是您的管理组的名称)。

    注意:要显示管理组,请右键单击 您的组织,单击“属性”,单击“显示管理组”复选框,将其选中,单击“确定”两次,然后重新启动“Exchange 系统管理器”。
  3. 展开“服务器”,展开要配置的 Exchange Server 容器,然后展开“协议”容器。
  4. 展开要配置的每个协议,右键单击“默认的 协议名称 虚拟服务器”对象,然后单击“属性”。
  5. 单击“访问”选项卡,然后单击“证书”。
  6. 在“Web 服务器证书向导”中,单击“下一步”,单击“新建证书”,然后单击“下一步”。
  7. 在“延迟或立即请求”页上,单击“立即将证书请求发送到联机证书颁发机构”,然后单击“下一步”。
  8. 在“名称”框中,键入用来标识此证书的相应名称,或接受“默认的 协议名称 虚拟服务器”的默认名称。
  9. 在“位长”列表中,单击要使用的位长,然后单击“下一步”。

    注意:较长的密钥对性能有负面影响。
  10. 在“组织”框和“组织单位”框中,键入您服务器的组织和组织单位信息,然后单击“下一步”。
  11. 在“公用名”框中,键入您站点的公用名,然后单击“下一步”。

    该公用名与 DNS 完全合格的域名 (FQDN) 匹配,该 FQDN 将映射到要使用此证书的相关协议虚拟服务器的 IP 地址。如果用户从 Internet 连接到此虚拟服务器,此名称必须是可以从外部解析的 FQDN。
  12. 在“国家(地区)”列表中,单击您的国家或地区名称。
  13. 在“省/自治区”框和“市县”框中,键入您组织的相应信息,然后单击“下一步”。
  14. 在“选择证书颁发机构”页上,查看您组织的联机 CA,然后单击“下一步”。
  15. 查看您在“证书请求提交”页的向导上输入的详细信息。如果发现任何错误信息,请单击“上一步”,直到到达必须更正的页面,然后单击“下一步”,直到返回“请求文件摘要”页,再单击“下一步”。
  16. 最后一页确认已在您选择的虚拟服务器上安装证书。
  17. 单击“完成”。

如何打开要求安全通道选项

在安装证书后,您可以打开 POP3、IMAP4 和 SMTP 协议的“要求安全通道”选项。

注意:NNTP 协议没有打开“要求安全通道”选项的设置。
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 如果打开了“显示管理组”选项,则展开“管理组”,然后展开第一个管理组(此处的“第一个管理组”是您的管理组的名称)。

    注意:要显示管理组,请右键单击 您的组织,单击“属性”,单击“显示管理组”复选框,将其选中,单击“确定”两次,然后重新启动“Exchange 系统管理器”。
  3. 展开“服务器”,展开要配置的 Exchange Server 容器,然后展开“协议”容器。
  4. 展开要配置的每个协议,右键单击“默认的 协议名称 虚拟服务器”对象,然后单击“属性”。
  5. 单击“访问”选项卡,然后单击“证书”。
  6. 单击以选中“需要安全通道”复选框。

    此外,您可以单击“要求 128 位加密”框,将其选中。不过,Exchange Server 计算机和连接的任何客户端计算机必须支持 128 位加密。
  7. 单击“确定”,然后再次单击“确定”,以接受更改并关闭虚拟服务器属性。

如何确认证书已正确安装

要确认虚拟服务器在使用 SSL 加密并且正确安装了证书,请配置 Outlook Express 使用增强型安全通道进行连接,然后使用“网络监视器”验证协议数据包是否已加密。为此,请按照下列步骤操作:
  1. 在 Microsoft Outlook Express 中,单击“工具”,然后单击“帐户”。
  2. 单击“邮件”选项卡(适于 POP3、IMAP4 或 SMTP)或“新闻”选项卡(适于 NNTP)。
  3. 双击相关协议的 Exchange Server 帐户,然后单击“高级”选项卡。
  4. 单击“此服务器要求安全连接(SSL)”框,将其选中。

    如果选中此框,POP3 端口号将从 110 更改为 995,IMAP4 端口将从 143 更改为 993,NNTP 端口将从 119 更改为 563,SMTP 端口仍保留在端口 25。
  5. 单击“确定”,然后单击“关闭”。
  6. 运行“网络监视器”捕获,然后,使用刚设置的帐户连接到 Exchange Server 计算机。在检查数据包时,请确保已对您在其中配置安全性的协议的数据包进行加密。

参考

有关“证书服务器”服务的更多信息,请参阅 Microsoft Windows 2000 Server Resource Kit 和 Microsoft Exchange 2000 Server Resource Kit。

本文中提到的第三方产品由 Microsoft 以外的其他公司提供。对于这些产品的性能或可靠性,Microsoft 不作任何暗示保证或其他形式的保证。