如何: 使用 Exchange 2000 Server 中的虚拟服务器的证书

文章翻译 文章翻译
文章编号: 319574 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本分步指南介绍了如何安装和使用用于 Exchange 2000 的证书。

Exchange 2000 包含了多个负责为入站和出站连接的标准的 Internet 服务提供服务的虚拟服务器。这些服务包括:
  • 邮局协议版本 3 (POP3)
  • Internet 邮件访问协议版本 4 (IMAP4)
  • 简单邮件传输协议 (SMTP)
  • 网络新闻传输协议 (NNTP)
您可以允许使用加密通信的这些虚拟服务器上安装证书。

: Exchange 2000 还包括超文本传输协议 (HTTP) 虚拟服务器。但是,您通过使用 Internet 服务管理器配置此虚拟服务器。本文不介绍此过程中。

要求

下面的列表概述了建议的硬件、 软件、 网络的基础结构和服务包,您需要:
  • Microsoft Windows 2000 Server 的 Service Pack 2 (SP2)
  • active Directory
  • Exchange 2000 Server 的服务包 1 (SP1)
  • Microsoft Outlook Express 5 或更高版本 (出于测试目的)
本文假定您熟悉下列主题:
  • Exchange 系统管理器
  • TCP/IP
  • 配置和使用包括捕获筛选器设置的 Microsoft 网络监视器。


什么是证书?

证书是提供通过公共网络的双方之间的安全的基础。证书是经过数字签名的语句,其中包含一个公钥和所有者或证书的主题的名称。证书也是由颁发的正文或证书颁发机构 (CA) 签名。如果 CA 签名证书,CA 确认与该证书公钥相关联的私钥是拥有的用户证书中命名的。

证书提供了一种机制,建立一个公钥和拥有相应私钥的实体之间的关系。大多数证书都基于在国际电信联盟,电讯标准化部门 (ITU-T) X.509 版本 3 的标准。

您可以使用证书来执行以下任务:
  • 确保两个用户或计算机,防止有人未经授权的查看传输的邮件或文件内容之间的通信安全。
  • 添加数字签名验证它已经不更改在传输过程中的电子交换 (例如,文件传输或邮件中)。
  • 正在验证个人或计算机的标识。
  • 如硬盘或磁带上包含在一个存储系统中的数据进行加密。
  • 验证如设备的驱动程序文件已被批准,并测试和安装过程之间未发生变化。
通常,证书使用.cer 扩展名,并与其他计算机上的文件具有相同的属性。通常,证书驻留在计算机上的证书存储区中。Windows 2000 包括从多个公用 X.509 版本 3 证书 ca,如 verisign)、 Thawte 和 SecureNet。 Windows 2000 还具有一个内置 X.509 版本 3 兼容证书服务器服务,从而允许您创建您自己的 CA 和分发证书用于在您的组织和由外部客户端或计算机。在部署证书时,此功能可以为您提供灵活性。

如何使用虚拟服务器的证书

此节可用于帮助您了解为什么您可能希望使用与您的虚拟服务器的证书。

邮局协议版本 3 虚拟服务器和 Internet 邮件访问协议版本 4 虚拟服务器

POP3 虚拟服务器和 IMAP4 虚拟服务器提供了必要的服务将从您的 Exchange 2000 计算机获取电子邮件的 POP3 客户端或 IMAP4 客户端,如 Microsoft Outlook Express。您可能希望使用 POP3 或 IMAP4 获取电子邮件从 Exchange 2000,如果连接速度很慢,并且用户不需要的 Outlook 客户端程序全部功能。

但是,POP3 和 IMAP4 协议使用明文发送的消息和身份验证。如果 POP3 虚拟服务器或 IMAP4 虚拟服务器中添加证书可以提供安全套接字层 (SSL) 加密,并确保身份验证序列和消息正文进行加密整个传输过程中通过公共网络。

简单邮件传输协议虚拟服务器

SMTP 虚拟服务器在其自身或结合了 SMTP 连接器提供了下列服务:
  • 集合和从外部 SMTP 服务器的传递邮件。
  • 邮件的 Exchange 服务器的路由组之间的路由。
  • 从 pop3/imap4 客户端接收邮件。
这些要求可能排斥 ; 这是因为您不能配置 SMTP 虚拟服务器的发送和接收与外部域的邮件在 Exchange SMTP 连接器,以便使用 SSL 加密的方式。大多数 Internet 上的 SMTP 服务器不支持 SSL。但是,如果作为 POP3 和 IMAP4 电子邮件消息传递机制使用 SMTP,您必须加密这些的事务,尤其是当您已经为 POP3 或 IMAP4 电子邮件收集过程配置 SSL。

Microsoft 建议您创建单独的 SMTP 虚拟服务器、 一个用于 Exchange 服务器的路由组,一个用于 POP3 和 IMAP4 电子邮件消息传递和您在使用证书和 SSL 配置这两个虚拟服务器。您执行此操作后,您可以使用默认的 SMTP 虚拟服务器通过 SMTP 连接器的方式连接到外部域。

超文本传输协议虚拟服务器

通常,使用证书与超文本传输协议 (HTTP) 虚拟服务器为获得他们的电子邮件的方式 Microsoft Outlook Web Access (OWA) 用户提供支持。为达到此目的可能是最佳以获取第三方证书。使用第三方的证书的用户可以从如信息亭或互联网吧中的公用计算机连接到他们的邮箱。

网络新闻传输协议虚拟服务器

如果满足下列条件,则使用与 NNTP 虚拟服务器的证书:
  • 您可以通过使用 NNTP 连接到 Exchange 2000 公用文件夹的客户端。
  • 您可以使用 NNTP 组织之间复制公用文件夹。
通常,到 USENET 新闻组服务器的连接不支持身份验证或加密,因此如果您使用 NNTP 的证书,则必须创建第二个 NNTP 虚拟服务器为此目的。

如何选择证书源

当您将获得与您的虚拟服务器使用的证书时,您有三个选项:
  • 您可以从外部 CA 购买单个证书
  • 您可以将成为向外部 CA 的下级 CA
  • 您可以实现并维护您自己的根 CA 结构
您可能要组合使用这些方法,例如对于您可以创建您自己的 CA 结构,并从外部 CA 购买单个证书。

如何从一个外部证书颁发机构购买证书

您可以将应用于如 VeriSign 或 Thawte 外部 CA 1 的根证书与 Windows 2000 一起安装的已验证的证书。如果满足以下条件,请从外部 CA 购买单个证书:
  • 要为常规 Internet 用户 (例如在电子商务环境中) 提供了安全连接。
  • 您想要支持具有从公共计算机,例如对于连接信息亭或互联网吧中的用户。
  • 您不能或不希望支持自己的 CA 环境。
通常,证书的成本开始大约 $ 600 (美国货币) 从而使这最便宜的方法,以获得一个证书。例如对于如果您购买了这种方式中的证书的员工可以安全地连接到其邮箱从运行 Windows 和 Microsoft Internet Explorer 4.0 或更高版本的任何计算机。

如何成为下属的证书颁发机构到一个外部证书颁发机构

若要这种方法可以将自己设置最多为认证外部 ca 的下级 CA。这意味着您可以发布多个证书,因为它们链接到公开发布的证书,而不是单独购买的每个证书的受信任的。但是,您仍然必须维护自己的 CA 结构 ; 审批过程需要三至六个月,成本最少的 50,000 美元 (美国货币)。例如对于 Microsoft 是经过 verisign) 颁发的下级 CA。

如果满足下列条件,则成为下级 CA,则请考虑:
  • 您希望代码签名的设备驱动程序,例如提供大量的公开发布的证书。
  • 您可以提供的专业技能和实施和管理对从属 CA 的支持。
  • 您希望自由地创建、 管理,和吊销公开可用的证书。

如何实现和维护自己的根证书颁发机构结构

如果满足以下条件,请创建您自己的根 CA 结构:
  • 您可以创建一个可靠、 有效的根 CA,并具有为此设备。
  • 只有您自己的组织中的用户或有限数量的外部客户端、 客户,或计算机,您可以提供连接性。
  • 您可以使用证书来标识个人,通过将证书与一个特定的登录帐户相关联。
  • 希望自己控制进度的最大的自由和灵活性,可以创建、 分配和吊销证书,而不必对任何外部组织的引用。
如果实现,并维护 CA 结构 (不常用的操作) 它要求计算机发出和维护证书必须始终是可用的。有关如何安装和配置证书服务器的详细信息,请参阅 Microsoft Windows 2000 Server 资源工具包和 Windows 2000 帮助。

您可以混合使用这些方法,例如对于您可以为您公用电子商务 Web 站点使用外部 CA,并以验证您的员工的标识,在通过 Internet 的方式连接到 Exchange Server 计算机时使用您自己的 CA。

在获取您的证书,或设置您的 CA 后,您必须在 Exchange 服务器的虚拟服务器上安装的证书。此过程通常是相同的所有服务器类型 HTTP 虚拟服务器除外。若要在 POP3、 IMAP4、 SMTP 和 NNTP 虚拟服务器上中安装证书使用 Exchange 系统管理器。若要配置的 HTTP 虚拟服务器,使用 $ (本文未描述此过程) 的 Internet 服务管理器。

如何从一个外部证书颁发机构申请证书

本过程描述了如何从外部 CA 在必须准备和发送到外部 CA 证书申请的情况下安装证书。您必须处理证书文件中单独的序列。

: 以下过程适用于 POP3、 IMAP4、 SMTP 和 NNTP 协议仅。本文不介绍如何配置 HTTP ssl。
  1. 单击 开始,指向 程序、 指向 Microsoft Exchange,然后单击 系统管理器
  2. Exchange 系统管理器 的左窗格中双击 $ 服务器
  3. 单击您想要配置,在 Exchange Server 计算机,然后双击 协议 容器。
  4. 您想要配置每个协议双击相关对象。
  5. 用鼠标右键单击 默认 (协议名称) 的虚拟服务器 对象,然后单击 属性
  6. 单击 访问 选项卡,然后单击 证书 按钮。
  7. IIS 证书向导启动后,单击 创建一个新证书,然后单击 下一步
  8. 单击 现在,准备请求,但稍后发送,然后单击 下一步
  9. 可以将适当的名称分配给该证书或接受 默认值 (协议名称) 的虚拟服务器 的默认设置、 选择一位长度,然后单击 下一步: 较长的密钥长度会影响性能 (这可以是开销更大)。

  10. 键入组织和组织单位的要申请一个证书的 CA 的信息,然后单击 下一步。 此信息是通常可在 CA 的网站或与 CA 注册时,将信息发送给您。

  11. 输入您的站点,然后单击 下一步 的公用名 : 如果想允许从 Internet 访问此名称必须是一个外部可解析完全合格的域名称 (FQDN 映射到链接到虚拟服务器的 Internet 协议 (IP) 地址)。

  12. 地理信息 页上键入 国家/地区省/市/自治区市县 信息作为适合于您的组织,然后单击 下一步
  13. 或者是键入一个名称和要在其中创建该证书或接受默认的文件名称的位置的路径,然后单击 下一步
  14. 查看在 请求文件摘要 页信息,然后单击 下一步
  15. 在最后一页确认已经创建具有指定的名称的证书。默认设置是 drive name: \certreq.txt。
  16. 单击 完成

如何安装从一个外部证书颁发机构的证书

发送您创建的前一节中对您的 CA 或者证书请求文件,您的 CA 可能有一个基于 Web 的界面,允许您提交证书申请。您收到具有文件扩展名为.cer 的文件。您会收到此文件后,重新启动证书向导安装此证书。
  1. 虚拟服务器上一节中使用上单击 属性、 单击 访问 选项卡,然后单击 证书 按钮。
  2. 重新启动证书向导中,并会收到通知,您有挂起的证书请求后,单击 下一步
  3. 挂起的证书申请 页上单击 处理挂起的请求并安装证书,然后单击 下一步
  4. 处理挂起的请求 键入到您从外部 CA 收到证书路径。
  5. 查看 证书摘要 页,然后单击 下一步

    包含在证书中,其中包括颁发该的证书,当证书过期后,证书是什么是用于和证书好记的名称将显示在 证书摘要 页上的信息。
  6. 您会收到通知在虚拟服务器上成功安装了证书后,单击 完成

如何安装从 Microsoft 证书服务器的证书

如果作为根 CA 或从属 CA,您已经在 Windows 2000 上安装 Microsoft 证书服务器服务,您可以直接在联机 CA 上发送您的证书服务器的请求。

: 可以将只发送请求到联机 CA 如果已经安装了 CA 作为企业 CA,Active Directory 中的而不是作为独立的 CA。
  1. 单击 开始,指向 程序、 指向 Microsoft Exchange,然后单击 系统管理器
  2. Exchange 系统管理器 的左窗格中双击 $ 服务器
  3. 选择您想要配置,在 Exchange Server 计算机,然后双击 协议 容器。
  4. 您想要配置每个协议双击相关对象。
  5. 用鼠标右键单击 默认 (协议名称) 的虚拟服务器 对象,然后单击 属性
  6. 单击 访问 选项卡,然后单击 证书 按钮
  7. IIS 证书向导启动后,单击 创建一个新证书,然后单击 下一步
  8. 延迟或立即请求 页上单击 立即向联机证书颁发机构请求发送,然后单击 下一步
  9. 分配适当的名称以标识此证书或接受 默认值 (协议名称) 的虚拟服务器 的默认名称,单击一个的合适的位长然后单击 下一步

    : 较长的密钥长度会对性能产生不利影响。
  10. 键入组织和组织单位信息为您的服务器,然后单击 下一步
  11. 键入您的站点的公用名,然后单击 下一步。 这符合 DNS 完全限定的域名 (FQDN) 映射到要使用此证书的相关协议虚拟服务器的 IP 地址。如果用户从 Internet 连接到此虚拟服务器,该名称必须是从外部可解析的 FQDN。

  12. 地理信息 页上输入 国家/地区省/市/自治区市县 的信息适用于您证书颁发机构,然后单击 下一步
  13. 选择证书颁发机构 页上查看您的组织的联机 CA,然后单击 下一步
  14. 检查您输入向导中,在 证书请求提交 页上的详细信息,然后单击 下一步。 在最后一页确认您选择的虚拟服务器上安装了证书。

  15. 单击 完成

如何强制安全通信

安装证书后,您可以强制 POP3、 IMAP4 和 SMTP 协议上的安全通信。

: 的 NNTP 协议会不一个具有设置为强制安全通信。
  1. 单击 开始,指向 程序、 指向 Microsoft Exchange,然后单击 系统管理器
  2. Exchange 系统管理器 的左窗格中双击 $ 服务器
  3. 单击您想要配置,在 Exchange Server 计算机,然后双击 协议 容器。
  4. 对于每个协议要强制安全双击 $ 相关对象。
  5. 用鼠标右键单击 默认 (协议名称) 的虚拟服务器 对象,然后单击 属性
  6. 单击 访问 选项卡,然后单击 通讯 按钮。
  7. 单击 要求安全通道 框。 此外,您可以单击 要求 128 位加密 框。但是,请注意 Exchange Server 计算机和任何连接的客户端计算机必须支持 128 位加密。

  8. 单击 确定,然后单击 确定 以接受更改并关闭虚拟服务器属性。

如何确认是否已正确安装证书

若要确认您的虚拟服务器使用 SSL 加密和证书已安装正确,配置 Outlook Express 使用一个安全通道连接并再使用网络监视器来验证对协议数据包进行加密。
  1. 在 Microsoft Outlook 速成版中单击在 工具 菜单上的 帐户
  2. 单击 (对于 POP3、 IMAP4 或 SMTP) 的 邮件 选项卡,或单击 新闻 选项卡 (NNTP)。
  3. 双击该相关协议的 Exchange 服务器帐户,然后单击 高级 选项卡。
  4. 单击以选中 此服务器要求安全连接 (SSL) 复选框。 如果选中了此框 POP3 端口号码对所做的更改从 110 995,IMAP4 端口更改从 143 为 993,NNTP 端口从 119 更改为 563,和 SMTP 端口仍保留在端口 25。

  5. 单击 确定 以关闭 帐户属性 框,然后单击以返回到 Outlook Express 的 关闭
  6. 运行网络监视器捕获,然后使用连接到 Exchange Server 计算机只是设置了该帐户。当您检查数据包时, 请注意您已在其配置安全协议的数据包进行加密。

故障排除

如果您正在运行您自己的根 CA,或者如果您具有对从属 CA 请注意如果您的证书服务器环境不响应,可能会丢失所有当前颁发的证书和证书吊销列表。如果您会丢失证书和证书吊销列表,您的客户端不能安全地连接到配置了这些证书,协议虚拟服务器。因此,很重要您决定是否实现您自己的 CA。

参考

有关证书服务器的详细信息,请参阅 Microsoft Windows 2000 Server 资源工具包和 Microsoft Exchange 2000 服务器资源工具包。

在本文中讨论的第三方产品是由独立于 Microsoft 的公司生产的。Microsoft 会使没有担保,或暗示或其他方式,性能或可靠性,这些产品。


属性

文章编号: 319574 - 最后修改: 2007年2月28日 - 修订: 1.5
这篇文章中的信息适用于:
  • Microsoft Exchange 2000 Server 标准版
关键字:?
kbmt kbhowto kbhowtomaster KB319574 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 319574
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com