本文分步介紹了如何在 Exchange Server 2003 中安裝和使用證書。Exchange Server 2003 包含多個虛擬服務器，這些服務器負責為多個標準的 Internet 服務提供入站和出站連接服務。這些服務是：

• 郵局協議版本 3 (POP3)
• Internet 消息訪問協議版本 4 (IMAP4)
• 簡單郵件傳輸協議 (SMTP)
• 網絡新聞傳輸協議 (NNTP)

您可以在這些虛擬服務器上安裝證書，以允許使用加密通信。

注意：Exchange Server 2003 還包含“超文本傳輸協議”(HTTP) 虛擬服務器。不過，您要使用“Internet 服務管理器”配置該虛擬服務器。本文不對此過程加以說明。 

要求

下面概要列出推薦使用的硬件、軟件、網絡基礎結構和 Service Pack：

• 帶有 Service Pack 3 (SP3) 的 Microsoft Windows 2000 Server
• Microsoft Active Directory 目錄服務
• Exchange Server 2003
• Microsoft Outlook Express 5 或更高版本（用于測試）

本文假定您熟悉下列主題：

• Exchange 系統管理器
• TCP/IP
• 如何配置和使用“Microsoft 網絡監視器”，如何設置捕獲篩選器

什么是證書？

證書有助于對雙方通過公共網絡建立的連接進行安全保護。證書是經過數字簽名的聲明，其中包含公鑰和所有者的名稱或證書的主題。證書也由頒發主體或證書頒發機構 (CA) 簽名。如果 CA 在證書上簽名，則 CA 確認與該證書的公鑰相關的私鑰歸證書中指定的用戶所有。

證書提供了一種機制，用來在公鑰與擁有對應私鑰的實體之間建立關系。大多數證書基于“國際電信聯盟電信標準化分部”(ITU-T) X.509 版本 3 的標準。

您可以使用證書執行以下任務：

• 在兩名用戶或兩臺計算機之間提供增強了安全的通信，以幫助防止他人在未經授權的情況下查看傳輸的郵件或文件內容。
• 對電子交換（如文件傳輸或郵件）進行數字簽名，以驗證它在傳輸過程中是否未被更改。
• 驗證用戶的身份或計算機的身份。
• 對存儲系統（如硬盤或磁帶）中的數據進行加密。
• 證明諸如設備驅動程序的文件已經過批準，并且未在測試過程與安裝過程之間進行過更改。

通常，證書使用 .cer 擴展名，它的屬性與計算機上其他文件的屬性相同。一般說來，證書駐留在計算機的證書存儲區。Windows 2000 包含來自多個 X.509 版本 3 公共 CA（如 VeriSign、Thawte 和 SecureNet）的證書。Windows 2000 也有內置的“證書服務器”服務，它與 X.509 版本 3 兼容?！白C書服務器”服務允許您創建自己的 CA，并分發既在您的組織內使用也由外部客戶端或計算機使用的證書。在部署證書時，此功能給您帶來了一定的靈活性。 

如何在虛擬服務器中使用證書

郵局協議版本 3 虛擬服務器和 Internet 消息訪問協議版本 4 虛擬服務器

POP3 虛擬服務器和 IMAP4 虛擬服務器提供 POP3 客戶端或 IMAP4 客戶端（如 Microsoft Outlook Express）從 Exchange Server 2003 計算機獲取電子郵件所需的服務。如果連接速度非常緩慢，并且用戶不需要 Outlook 客戶端程序的完整功能，您可能希望使用 POP3 或 IMAP4 從 Exchange Server 2003 獲取電子郵件。

不過，POP3 和 IMAP4 使用明文發送郵件和進行身份驗證。如果向 POP3 虛擬服務器或 IMAP4 虛擬服務器添加證書，則可提供“安全套接字層”(SSL) 加密。在使用 SSL 加密時，身份驗證序列和郵件正文在通過公共網絡傳輸的整個過程中都會經過加密。

簡單郵件傳輸協議虛擬服務器

SMTP 虛擬服務器獨立提供或與 SMTP 連接器協同提供下列服務：

• 收集郵件、向外部 SMTP 服務器發送郵件、接收來自 SMTP 服務器的郵件。
• 在 Exchange Server 路由組之間路由郵件。
• 接收來自 POP3/IMAP4 客戶端的郵件。

您可能無法通過使用 Exchange SMTP 連接器和 SSL 加密來配置通過外部域發送和接收郵件的 SMTP 虛擬服務器。Internet 上的大多數 SMTP 服務器不支持 SSL 加密；不過，如果使用 SMTP 作為 POP3 和 IMAP4 電子郵件發送機制，則必須對這些事務加密。如果已經為 POP3 或 IMAP4 電子郵件收集過程配置了 SSL，則更是如此。

Microsoft 建議您創建兩個單獨的 SMTP 虛擬服務器用于 Exchange Server 路由組和 POP3 及 IMAP4 電子郵件發送。如果為這兩個虛擬服務器配置證書和 SSL 加密，則可使用默認的 SMTP 虛擬服務器通過 SMTP 連接器連接到外部域。

超文本傳輸協議虛擬服務器

通常，您在“超文本傳輸協議”(HTTP) 虛擬服務器中使用證書為使用 Microsoft Outlook Web Aclearcase/" target="_blank" >ccess (OWA) 檢索電子郵件的用戶提供支持。為此，最好獲得第三方證書。有了第三方證書，用戶即可從公共計算機（例如網吧中的計算機）連接到他們的郵箱。

網絡新聞傳輸協議虛擬服務器

如果符合以下條件，則可在 NNTP 虛擬服務器中使用證書：

• 您的客戶端使用 NNTP 連接到 Exchange Server 2003 公用文件夾。
• 您使用 NNTP 在組織之間復制公用文件夾。

通常，與 Usenet 新聞組服務器的連接不支持身份驗證或加密。如果在 NNTP 中使用證書，則必須為此目的創建另一個 NNTP 虛擬服務器。

如何選擇證書源

當您獲取要在虛擬服務器中使用的證書時，您有三個選擇：

• 您可以從外部 CA 購買單個證書。
• 您可以成為外部 CA 的從屬 CA。
• 您可以實現和維護自己的根 CA 結構。

您可能需要組合使用上述方法。例如，您可以創建自己的 CA 結構，并從外部 CA 購買單個證書。

如何從外部證書頒發機構購買證書

您可以向外部 CA（例如，VeriSign 或 Thawte）申請隨 Windows 2000 安裝的某個根證書驗證的證書。如果符合以下條件，則可從外部 CA 購買單個證書：

• 您希望向一般的 Internet 用戶提供增強型安全連接（例如，在電子商務環境中）。
• 您希望支持必須從公共計算機（例如，網吧中的計算機）進行連接的用戶。
• 您不能或不希望支持自己的 CA 環境。

通常，證書成本大約600 美元起，這使它成為獲取一個證書最便宜的方式。例如，如果您按此方式購買一個證書，那么所有員工都能從運行 Windows 和 Internet Explorer 4.0 及更高版本的任何計算機通過增強型安全連接訪問他們的郵箱。

如何成為外部證書頒發機構的從屬證書頒發機構

要完成這一步，您應將自己設置為經過外部 CA 認證的從屬 CA。這意味著，您可以頒發多個受信任的證書（因為它們鏈接到可公開得到的證書），而不必單獨購買每個證書。您仍然必須維護自己的 CA 結構。審批過程需要三到六個月，最低費用為 50,000 美元。例如，Microsoft 是經過 VeriSign 認證的從屬 CA。

如果符合以下條件，則可考慮成為從屬 CA：

• 您希望提供許多可公開得到的證書；例如，用于代碼簽名的設備驅動程序。
• 您可以提供實現和管理從屬 CA 所需的專業技能和支持。
• 您希望能夠自由創建、管理和吊銷公用證書。

如何實現和維護您自己的根證書頒發機構結構

如果符合以下條件，則可創建您自己的根 CA 結構：

• 您可以創建可靠且有效的根 CA，并且具有相應的設備。
• 您只向本組織的用戶或數量有限的外部客戶端、客戶或計算機提供連接。
• 您使用證書識別用戶，方法是將證書與特定登錄帳戶關聯。
• 您希望在創建、分配和吊銷證書方面獲得最大的自由度和靈活性，而不必向任何外部組織呈報。

如果您實現和維護 CA 結構（不是小操作），它需要頒發和維護證書的計算機始終可用。有關如何安裝和配置證書服務器的更多信息，請參閱 Microsoft Windows 2000 Server Resource Kit 和 Windows 2000 幫助。

為了滿足需求，您可能考慮同時使用外部 CA 和您自己的 CA。例如，您可以將外部 CA 用于公共電子商務網站，在員工通過 Internet 連接到 Exchange Server 計算機時，使用他們自己的 CA 驗證員工身份。

在您獲得了證書或設置了自己的 CA 后，您必須在 Exchange Server 虛擬服務器上安裝證書。對除 HTTP 虛擬服務器以外的所有其他類型的服務器來說，此過程基本相同。要在 POP3、IMAP4、SMTP 和 NNTP 虛擬服務器上安裝證書，請使用“Exchange 系統管理器”。要配置 HTTP 虛擬服務器，請使用“Internet 服務管理器”（本文不對此過程加以說明）。

共2頁: 1 [2] 下一頁