如何: 使用憑證與 Exchange 2000 Server 中的虛擬伺服器

文章翻譯 文章翻譯
文章編號: 319574 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將逐步告訴您,如何安裝及使用憑證來與 Exchange 2000 搭配使用。

Exchange 2000 會併入的負責服務的標準的網際網路服務數目的輸入及輸出連線的虛擬伺服器的數目。這些服務是:
  • 郵局通訊協定,第 3 版 (POP3)
  • 網際網路訊息存取通訊協定,第 4 版 (IMAP4)
  • 簡易郵件傳送通訊協定 (SMTP)
  • 網路新聞傳送通訊協定 (NNTP)
您可以在允許加密的通訊使用這些虛擬伺服器上安裝憑證。

注意: Exchange 2000 也包括 「 超文字傳輸通訊協定 (HTTP) 虛擬伺服器。但是,您會利用 Internet 服務管理員設定此虛擬伺服器。本文不說明在此程序。

需求

下列清單列出建議的硬體、 軟體、 網路基礎結構及您需要的服務套件:
  • Microsoft Windows 2000 Server 與 Service Pack 2 (SP2)
  • 使用中的目錄
  • Exchange 2000 伺服器與 Service Pack 1 (SP1)
  • Microsoft Outlook Express 5 或更新版本 (供測試之用)
本文假設您已熟悉下列主題:
  • Exchange 系統管理員
  • TCP/IP
  • 設定和使用 Microsoft 網路監視器包括擷取篩選器設定。


什麼是憑證?

憑證是提供透過公用網路的兩方之間的安全性的基礎。憑證是數位簽章包含公開金鑰和擁有者或憑證的主體名稱的陳述式。由發行主體或憑證授權單位 (CA) 也簽署憑證。如果 CA 簽署憑證,CA 確認憑證的公開金鑰相關聯的私密金鑰在憑證中命名的使用者擁有。

憑證提供用於建立公開金鑰和擁有相對應的私密金鑰的實體之間的關聯性的機制。大部分的憑證根據 [國際電信聯合,電信標準磁區 (ITU-T) X.509 版本 3 標準。

您可以使用憑證來執行下列工作:
  • 之間維持安全通訊兩個使用者或電腦,以防止未經授權的檢視的傳輸郵件或檔案的內容。
  • 數位簽章來驗證它已不被變更在轉送的過程中的電子交換 (例如檔案傳輸或訊息)。
  • 驗證的個人或電腦的身分識別。
  • 加密中所含的資料儲存系統如硬碟或磁帶上。
  • 認證檔案例如裝置驅動程式已核准,且不已經測試及安裝處理程序之間變更。
通常,憑證使用.cer 延伸模組,並做為其他電腦上的檔案都有相同的內容。通常,憑證存放在電腦上的憑證存放區中。Windows 2000 包含從幾個公用 X.509 版本 3 憑證例如 VeriSign、 其和 SecureNet 的 CA。 Windows 2000 也有內建 X.509 版本 3 相容的認證伺服器服務,它允許您建立您自己的 CA 和發佈以供您組織中或由外部用戶端或電腦的憑證。這項功能提供彈性部署憑證時。

如何使用憑證與虛擬伺服器

本節提供幫助您瞭解為什麼可能會想要使用的憑證與虛擬伺服器。

郵局通訊協定,第 3 版虛擬伺服器 」 和 「 網際網路訊息存取通訊協定第 4 版的虛擬伺服器

[POP3 虛擬伺服器] 和 [IMAP4 虛擬伺服器提供必要的服務,POP3 用戶端或如 Microsoft Outlook Express 的 IMAP4 用戶端從 Exchange 2000 電腦取得電子郵件訊息。若要使用 POP3 或 IMAP4 來從 Exchange 2000 取得電子郵件訊息,如果連線速度非常慢,而且使用者不需要完整功能的 Outlook 用戶端程式。

不過,POP3 和 IMAP4 通訊協定會使用純文字來傳送訊息和進行驗證。如果您將憑證加入至 POP3 虛擬伺服器或 IMAP4 虛擬伺服器時,您可以提供安全通訊端層 (SSL) 加密,並確定這兩種驗證序列 (Sequence) 和訊息本文會加密整個傳輸進行跨公用網路。

簡易郵件傳送通訊協定虛擬伺服器

SMTP 虛擬伺服器會提供下列服務,在他們自己或配合 SMTP 連接器:
  • 郵件集合,並傳遞與外部 SMTP 伺服器。
  • 郵件路由 Exchange 伺服器在路由群組之間。
  • 接收來自 POP3/IMAP4 用戶端的 [郵件]。
這些需求可能互斥; 這是因為您不能設定 SMTP 虛擬伺服器,會傳送並接收郵件與外部網域的 Exchange SMTP 連接器使用 SSL 加密。網際網路上的大多數 SMTP 伺服器不支援 SSL。不過,如果您使用 SMTP 做為 POP3 和 IMAP4 電子郵件訊息傳遞機制時,您必須特別是如果您已經已設定 SSL 為 POP3 或 IMAP4 電子郵件訊息集合處理加密這些交易。

Microsoft 建議您建立個別的 SMTP 虛擬伺服器,另一個則用於所使用的 Exchange 伺服器的路由群組,一個用於 POP3 和 IMAP4 電子郵件傳遞,並將這兩個虛擬伺服器設定憑證與 SSL。您執行這項操作之後您可以使用預設的 SMTP 虛擬伺服器透過 SMTP 連接器的方式連線到外部網域。

超文字傳輸通訊協定虛擬伺服器

通常,您可以使用憑證與 「 超文字傳輸通訊協定 (HTTP) 」 虛擬伺服器來提供支援,取得自己的電子郵件的 Microsoft 「 Outlook Web Access (OWA) 的使用者。為此目的可能是取得協力廠商憑證的最佳方法。與協力廠商憑證的使用者可以從公用的電腦例如展示亭或網際網路 cafes 中連接到他們的信箱。

網路新聞傳送通訊協定虛擬伺服器

如果下列情況成立,則請使用 NNTP 虛擬伺服器的憑證:
  • 您有使用 NNTP 連線至 Exchange 2000 公用資料夾的用戶端。
  • 您可以使用 NNTP 組織間複寫公用資料夾。
通常,USENET 新聞群組伺服器的連線不支援驗證或加密,因此如果憑證使用 NNTP 您必須建立第二個的 NNTP 虛擬伺服器為此目的。

如何選取憑證來源

當您取得憑證與您的虛擬伺服器搭配使用時,會有三種選擇:
  • 您可以從外部的 CA 購買個別憑證
  • 您可能會變得次級 CA 到外部的 CA
  • 您可以實作和維護自己的根 CA 結構
您可能需要結合這些方法,比方說,您便可以建立您自己 CA 結構上,並從外部的 CA 購買個別憑證。

如何購買從外部憑證授權單位憑證

您可以將套用由其中一個與 Windows 2000 安裝根憑證驗證的憑證例如 VeriSign 或其外部 CA。如果下列情況成立,請從外部的 CA 購買個別憑證:
  • 您想要提供安全的連線能力的一般網際網路使用者 (例如電子商務環境)。
  • 您想要支援從,例如的公用電腦連接在展示亭或網際網路 cafes 的使用者。
  • 您不能,或您不想支援 CA 環境。
通常,憑證的成本開頭大約 600 美元 (美國貨幣) 使得這最便宜的方法,以取得只有一個憑證。比方說如果您購買這種方式中的憑證,員工可以安全地連線到其信箱從執行 Windows 及 Microsoft Internet Explorer 4.0 或更新版本的任何電腦。

如何成為次級憑證授權單位到外部憑證授權單位

若要完成這種方法,您將設定您自己為由外部 CA 所認證的次級 CA。這表示您可以發出多個已受到信任,因為它們連結到公開可用的憑證,而不是分開購買的每個憑證的憑證。但是,您仍然必須維護您自己的 CA 結構 ; 核准程序需要三到六個月,而且成本最小值為 $ 50,000 (美國貨幣)。比方就說 Microsoft 是由 VeriSign 認證次級 CA。

請考慮下列情況成立時,變得次級 CA:
  • 您想要的程式碼簽署裝置驅動程式,例如提供大量的公開可用的憑證。
  • 您可以提供專業技術和支援,以實作和管理次級 CA。
  • 您想建立、 管理,及撤銷公開可用的憑證自由。

如何實作及維護您自己的根憑證授權單位結構

如果下列情況成立,請建立您自己的根 CA 結構:
  • 您可以建立一個可靠且有效的根 CA,並具有要執行這項操作,設備。
  • 只有您自己的組織中的使用者或有限數量的外部用戶端、 客戶或電腦,提供連線能力。
  • 您可以使用憑證來識別個人藉由將特定的登入帳戶關聯的憑證。
  • 您想讓最大的自由和彈性來建立、 指派和撤銷憑證沒有任何外部組織的參照。
如果您實作,並維護 CA 結構 (不是一般作業) 它需要在發出和維護憑證必須永遠是可用的電腦。更多有關如何安裝及設定憑證伺服器的資訊,請參閱 Microsoft Windows 2000 Server 資源套件和 Windows 2000 說明。

您可以混用這些方法,比方說可以為您公用電子商務網站使用外部 CA,然後使用您自己的 CA 來確認您的員工身分識別,透過網際網路的方式連線至 Exchange Server 電腦時。

取得您的憑證或設定您的 CA 之後,您必須在 Exchange Server 虛擬伺服器上安裝憑證。此程序通常是相同的 HTTP 虛擬伺服器以外的所有伺服器類型。若要安裝 [POP3]、 [IMAP4]、 [SMTP] 及 [NNTP 虛擬伺服器上的 [憑證],使用 Exchange 系統管理員。若要進行 HTTP 虛擬伺服器使用 [(本文不會說明此程序) 的網際網路服務管理員]。

如何從外部憑證授權單位要求憑證

這個程序說明如何從外部 CA 在憑證要求必須準備和送到外部授權單位 (CA) 的情況下安裝憑證。您必須處理憑證檔案以不同的順序。

注意: [POP3,IMAP4、 SMTP 和 NNTP 通訊協定只套用於下列程序。本文不會不會說明如何設定 SSL 的 HTTP。
  1. 按一下 [開始],指向 [程式集]、 指向 Microsoft Exchange,然後再按一下 [系統管理員]。
  2. Exchange 系統管理員 」 左邊的窗格中, 按兩下 [伺服器]。
  3. 按一下您想要設定,在 Exchange Server 電腦,然後再按兩下 [通訊協定] 容器。
  4. 您想要設定每個通訊協定,按兩下相關的物件。
  5. 預設 (通訊協定名稱) 虛擬伺服器] 物件上按一下滑鼠右鍵,然後按一下 [內容]。
  6. 按一下 [存取] 索引標籤,然後按一下 [憑證] 按鈕。
  7. 「 IIS 憑證精靈 」 啟動後按一下 [建立新的憑證,然後按一下 [下一步]。
  8. 按一下 [準備要求現在,但傳送它稍後,然後按一下 [下一步]。
  9. 任一個指派適當的名稱給憑證或接受 預設值 (通訊協定名稱) 虛擬伺服器 」 的預設設定、 選取位元長度,然後按一下 [下一步注意: 較長的金鑰長度會影響效能 (這可以是更昂貴的)。

  10. 鍵入組織和組織單位資訊在您想要要求一個憑證的 CA,然後按一下 [下一步]。 這項資訊通常可從 CA 的 Web 站台或當您以 「 CA 註冊資訊就會傳送給您。

  11. 請輸入您的網站,然後按一下 [下一步] 常見的名稱 注意: 若想允許從網際網路存取這個名稱必須是一個可以解析外部完整格式的網域名稱 (FQDN 對應到連結到虛擬伺服器 [網際網路通訊協定 (IP) 位址)。

  12. 在 [地理資訊] 頁面中,輸入 國家 (地區)狀態/市城市/位置 資訊做為適用於您的組織,然後按一下 [下一步]
  13. 不論是鍵入名稱以及您要建立憑證,或接受預設檔案名稱之位置的路徑,然後按一下 [下一步]
  14. 檢閱 要求的檔案摘要] 頁面上資訊,然後按一下 [下一步]
  15. 最後一頁確認已建立具有指定的檔案名稱的憑證。預設值是 drive name: \certreq.txt。
  16. 按一下 [完成]。

如何從外部憑證授權單位安裝憑證

傳送憑證要求檔案您要建立前一節中您 CA 除此之外,您的 CA 可能必須以 Web 為基礎的介面,可讓您提交憑證要求。您收到具有.cer 檔案名稱副檔名的檔案。您收到這個檔案之後重新啟動憑證精靈來安裝這個憑證。
  1. 虛擬伺服器前一節中所用上, 按一下 [屬性],按一下 [存取] 索引標籤然後再按一下 [憑證] 按鈕。
  2. 憑證精靈 」 重新啟動,並且您會收到通知您有擱置的憑證要求之後,按一下 [下一步]。
  3. 擱置的憑證要求] 頁面上按一下 [處理擱置要求及安裝憑證,然後按一下 [下一步]。
  4. 處理擱置要求,輸入到您收到來自外部的 CA 憑證路徑。
  5. 檢閱 [憑證摘要] 頁面,然後按一下 [下一步]。

    包含在憑證,包括由核發該憑證時在憑證到期,憑證為何要用來進行,和憑證好記的名稱顯示在 [憑證摘要] 頁面上的資訊。
  6. 您會收到通知虛擬伺服器上,成功地安裝憑證之後按一下 [完成]。

如何從 Microsoft 認證伺服器安裝憑證

如果您已經在 Windows 2000 上安裝 Microsoft 認證伺服器服務,為根 CA 或次級 CA,您可以到線上 CA 直接傳送您的憑證伺服器要求。

注意: 您可以只傳送要求到線上 CA 如果您已經安裝而不是獨立的 CA] 作為 CA 為企業 CA 的 Active Directory 中。
  1. 按一下 [開始],指向 [程式集]、 指向 Microsoft Exchange,然後再按一下 [系統管理員]。
  2. Exchange 系統管理員 」 左邊的窗格中, 按兩下 [伺服器]。
  3. 選取您想要設定,在 Exchange Server 電腦,然後連按兩下 [通訊協定] 容器。
  4. 您想要設定每個通訊協定,按兩下相關的物件。
  5. 預設 (通訊協定名稱) 虛擬伺服器] 物件上按一下滑鼠右鍵,然後按一下 [內容]。
  6. 按一下 [存取] 索引標籤,然後按一下 [憑證] 按鈕
  7. 「 IIS 憑證精靈 」 啟動後按一下 [建立新的憑證,然後按一下 [下一步]。
  8. 在 [的 [延遲] 或 [立即要求] 頁面上按一下 [傳送要求到線上憑證授權單位立即,],再按 下一步]。
  9. 指派適當的名稱,以識別這個憑證或接受 預設值 (通訊協定名稱) 虛擬伺服器 」 的預設名稱,按一下 [合適的位元長度然後按一下 [下一步

    注意: 較長的金鑰長度對效能有不利的影響。
  10. 鍵入組織和組織單位資訊為您的伺服器,然後按一下 [下一步]。
  11. 輸入一般名稱對您的站台,然後按一下 [下一步]。 這與 DNS 完整格式的網域名稱 (FQDN) 對應到要使用此憑證相關通訊協定虛擬伺服器的 IP 位址相符。如果使用者從網際網路連線到此虛擬伺服器,此名稱必須是從外部可以解析的 FQDN。

  12. 在 [地理資訊] 頁面中,輸入 國家 (地區)狀態省份城市/位置 的資訊,適用於您憑證授權單位,然後按一下 [下一步]
  13. 在 [選擇憑證授權單位] 頁面上,檢閱貴公司的線上 CA,然後按一下 [下一步]。
  14. 檢閱您在精靈中在 [憑證要求送出] 頁面輸入詳細資料,然後按一下 [下一步]。 最後一頁可確認您已選取虛擬伺服器上已安裝憑證。

  15. 按一下 [完成]。

如何強迫安全通訊

安裝憑證之後,您可以強制 POP3,IMAP4 和 SMTP 通訊協定上的安全通訊。

注意: [NNTP 通訊協定不會不設定設為強制安全通訊是有。
  1. 按一下 [開始],指向 [程式集]、 指向 Microsoft Exchange,然後再按一下 [系統管理員]。
  2. Exchange 系統管理員 」 左邊的窗格中, 按兩下 [伺服器]。
  3. 按一下您想要設定,在 Exchange Server 電腦,然後再按兩下 [通訊協定] 容器。
  4. 對於每個通訊協定,您想要強制執行安全性,按兩下相關的物件。
  5. 預設 (通訊協定名稱) 虛擬伺服器] 物件上按一下滑鼠右鍵,然後按一下 [內容]。
  6. 按一下 [存取] 索引標籤,然後按一下 [通訊] 按鈕。
  7. 按一下 [需要安全通道] 方塊。 此外,您可以按一下 [需要 128 位元加密] 方塊。不過,請注意您的 Exchange Server 電腦和任何連接的用戶端電腦必須支援 128 位元加密。

  8. 按一下 [確定],然後再按一下 [確定] 接受變更並關閉虛擬伺服器內容]。

如何確認您的憑證已正確安裝

若要確認您的虛擬伺服器使用 SSL 加密及安裝憑證正確,設定 Outlook Express 使用安全通道連線,然後使用 [驗證通訊協定封包加密的 [網路監視器。
  1. Microsoft Outlook Express 中按一下 [工具] 功能表上的 [帳號]。
  2. 按一下 [郵件] 索引標籤 (針對 POP3,IMAP4 或 SMTP) 或按一下 [新聞] 索引標籤 [NNTP) 的。
  3. 連按兩下 [Exchange 伺服器帳戶的相關通訊協定,然後按一下 [進階] 索引標籤。
  4. 按一下以選取 [此伺服器需要安全連線 (SSL)] 核取方塊。 如果您選取此方塊時,POP3 連接埠數字對所做的變更從 110 995,IMAP4 連接埠從變成 143 993、 NNTP 連接埠 119 從變更為 563,而 SMTP 通訊埠會保持在連接埠 25。

  5. 按一下 [確定] 關閉 [帳號內容] 方塊,然後按一下 [關閉] 以回到 Outlook Express。
  6. 執行網路監視器擷取,然後再連接到 [Exchange Server 電腦使用您剛設定的帳戶。當您檢查封包時,注意到已設定安全性通訊協定封包加密。

疑難排解

如果您正在執行您自己的根 CA,或如果您有次級 CA 請注意若沒有回應您的認證伺服器環境,您會遺失所有目前所發出的憑證及憑證廢止清單。如果遺失憑證及憑證廢止清單您用戶端無法安全地連線至通訊協定虛擬伺服器,以這些憑證設定。因此,是重要決定是否要實作您自己的 CA。

?考

有關更多的認證伺服器,請參閱 「 Microsoft Windows 2000 Server 資源工具箱 」 和 「 Microsoft Exchange 2000 伺服器資源工具箱 」。

本文中討論的協力廠商產品是由與 Microsoft 無關的公司所製造。Microsoft 可讓不以暗示或其他方式,效能或可靠性這些產品的保證。


屬性

文章編號: 319574 - 上次校閱: 2007年2月28日 - 版次: 1.5
這篇文章中的資訊適用於:
  • Microsoft Exchange 2000 Server Standard Edition
關鍵字:?
kbmt kbhowto kbhowtomaster KB319574 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:319574
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com