如何使用憑證與 Exchange Server 2003 中的虛擬伺服器

文章翻譯 文章翻譯
文章編號: 823024 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將逐步告訴您,如何安裝,以及與 Exchange Server 2003 會使用憑證。Exchange Server 2003 會併入的負責服務的標準的網際網路服務數目的輸入及輸出連線的虛擬伺服器的數目。 這些服務是:
  • 郵局通訊協定,第 3 版 (POP3)
  • 網際網路訊息存取通訊協定,第 4 版 (IMAP4)
  • 簡易郵件傳送通訊協定 (SMTP)
  • 網路新聞傳送通訊協定 (NNTP)
您可以在允許加密的通訊使用這些虛擬伺服器上安裝憑證。

附註Exchange Server 2003 也包含了超文字傳輸通訊協定 (HTTP) 虛擬伺服器。但是,您會利用 Internet 服務管理員設定此虛擬伺服器。本文不說明在此程序。 如需有關如何使用網際網路服務管理員來設定 「 超文字傳輸通訊協定虛擬伺服器的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
299875如何: 在 Windows 2000 IIS 5.0 的電腦上實作 SSL

需求

下列清單列出建議的硬體、 軟體、 網路基礎結構和 Service Pack:
  • Microsoft Windows 2000 Server 與 Service Pack 3 (SP3)
  • Microsoft Active Directory 目錄服務
  • 交換伺服器 2003
  • Microsoft Outlook Express 5 或更新版本 (供測試之用)
本文假設您已熟悉下列主題:
  • Exchange 系統管理員
  • TCP/IP
  • 如何設定,並使用 Microsoft 網路監視器,以及如何設定 [擷取篩選器

什麼是憑證?

憑證用來協助保護透過公用網路的兩方之間連線的安全。憑證是數位簽章包含公開金鑰和憑證的主體或擁有者名稱的陳述式。 憑證也簽名的發行主體或憑證授權單位 (CA)。如果 CA 簽署憑證,CA 確認憑證的公開金鑰相關聯的私密金鑰在憑證中命名之使用者的持有。

憑證提供用於建立公開金鑰和擁有相對應的私密金鑰的實體之間的關聯性的機制。大部分的憑證根據國際電信聯集電信標準扇形 (ITU-T) X.509 版本 3 標準。

您可以使用憑證來執行下列工作:
  • 提供兩個使用者] 或 [兩台電腦],以協助防止未經授權的檢視的訊息或傳輸檔案內容之間的增強安全性的通訊。
  • 若要數位方式簽署電子交換 (例如檔案傳輸或訊息) 以確認它未經過變更在傳送中。
  • 若要驗證的個人識別或電腦的識別。
  • 加密包含在儲存體系統如硬碟或磁帶上的資料。
  • 若要證明例如裝置驅動程式檔案已核准,且不已經變更測試] 和 [安裝之間處理。
通常,憑證使用.cer 延伸模組,並做為其他電腦上的檔案都有相同的內容。通常,憑證存放在電腦上的憑證存放區中。Windows 2000 包含從幾個公用 X.509 版本 3 憑證例如 VeriSign、 其和 SecureNet 的 CA。 Windows 2000 也有內建的認證伺服器是使用 X.509 版本 3 相容的服務。「 憑證伺服器 」 服務可以讓您建立您自己的 CA,並發佈以供您組織中或由外部用戶端或電腦的憑證。這項功能提供彈性部署憑證時。

如何使用憑證與虛擬伺服器

郵局通訊協定,第 3 版的虛擬伺服器 」 及 「 網際網路訊息存取通訊協定第 4 版的虛擬伺服器

POP3 虛擬伺服器及 IMAP4 虛擬伺服器提供 POP3 用戶端或 IMAP4 用戶端 (例如 Microsoft Outlook Express) 需要從您的 Exchange Server 2003 電腦取得電子郵件訊息的服務。若要使用 POP3 或 IMAP4 來從 Exchange Server 2003 取得電子郵件訊息,如果連線速度是非常緩慢,而且使用者不需要完整功能的 Outlook 用戶端程式。

不過,POP3 和 IMAP4 使用純文字來傳送訊息和進行驗證。如果您將憑證加入至 POP3 虛擬伺服器或 IMAP4 虛擬伺服器時,您可以提供安全通訊端層 (SSL) 加密。當您使用 [SSL 加密驗證順序及郵件內文會在傳輸整個加密進行跨公用網路。

簡易郵件傳送通訊協定虛擬伺服器

SMTP 虛擬伺服器會提供下列服務,在他們自己或配合 SMTP 連接器:
  • 郵件集合及傳遞與外部 SMTP 伺服器。
  • 郵件路由 Exchange 伺服器在路由群組之間。
  • 郵件接收來自 POP3/IMAP4 用戶端。
您可能無法設定 SMTP 的虛擬伺服器,會傳送並,使用 [Exchange SMTP 連接器和 SSL 加密接收外部網域的郵件。網際網路上的大多數 SMTP 伺服器不支援 SSL 加密 ; 然而,如果您使用 SMTP 作為 [POP3 和 IMAP4 電子郵件訊息傳送機制時,您必須加密這些交易。特別是如果是如此已經設定 SSL,POP3 或 IMAP4 電子郵件訊息集合程序。

Microsoft 建議您建立兩個個別的 SMTP 虛擬伺服器所使用的 Exchange 伺服器的路由群組,以及 POP3 和 IMAP4 電子郵件訊息傳遞。如果您設定兩者的 SSL 加密憑證與虛擬伺服器,您可以用預設 SMTP 虛擬伺服器透過 SMTP 連接器的方式連線到外部網域。

超文字傳輸通訊協定虛擬伺服器

通常,您可以使用憑證與 「 超文字傳輸通訊協定 (HTTP) 」 虛擬伺服器來提供支援,使用 Microsoft Outlook Web Access (OWA) 來擷取自己的電子郵件的使用者。為此目的可能是取得協力廠商憑證的最佳方法。使用協力廠商憑證使用者可以從公用的電腦例如您可以找到在展示亭或網際網路 cafes 連接到他們的信箱。

網路新聞傳送通訊協定虛擬伺服器

如果下列情況成立,則請使用 NNTP 虛擬伺服器的憑證:
  • 您有使用連線至 Exchange Server 2003 公用資料夾 NNTP 的用戶端。
  • 您可以使用 NNTP 組織間複寫公用資料夾。
通常,Usenet 新聞群組伺服器的連線並不支援驗證或加密。如果憑證使用 NNTP 您必須建立第二個的 NNTP 虛擬伺服器為此目的。

如何選取憑證來源

當您取得憑證與您的虛擬伺服器搭配使用時,會有三種選擇:
  • 您可以從外部的 CA 購買個別憑證。
  • 您可能會變得次級 CA 到外部的 CA。
  • 可以實作和維護自己的根 CA 結構。
您可能必須合併這種方法。比方說您可以建立您自己的 CA 結構,並從外部的 CA 購買個別憑證。

如何購買從外部憑證授權單位憑證

您可以將套用由其中一個與 Windows 2000 安裝根憑證驗證的憑證例如 VeriSign 或其外部 CA。如果下列情況成立,請從外部的 CA 購買個別憑證:
  • 您想要提供安全的連線能力的一般網際網路使用者 (例如電子商務環境)。
  • 您想要支援從,例如的公用電腦連接在展示亭或網際網路 cafes 的使用者。
  • 您不能,或您不想支援您自己的 CA 環境。
通常,憑證的成本開始於大約 600 美元 (美國貨幣) 進行這最便宜的方法,以取得只有一個憑證。比方說如果您購買這種方式中的憑證,員工可以透過從執行 Windows 及 Internet Explorer 4.0 版及更新的任何電腦的增強安全性的連線存取其信箱。

如何成為次級憑證授權單位到外部憑證授權單位

若要完成這種方法,您將設定您自己為由外部 CA 所認證的次級 CA。這表示您可以發出多個已受到信任,因為它們連結到公開可用的憑證,而不是分開購買的每個憑證的憑證。您仍然必須維護您自己的 CA 結構。核准程序需要三到六個月,而且成本最小值為 $ 50,000 (美國貨幣)。比方就說 Microsoft 是由 VeriSign 認證的次級 CA。

請考慮下列情況成立時,變得次級 CA:
  • 您想要提供許多公開可用的憑證 ; 比方說的程式碼簽署裝置驅動程式。
  • 您可以提供專業技術和支援實作,並管理次級 CA。
  • 您想自由建立、 管理,以及撤銷公開可用的憑證。

如何實作及維護您自己的根憑證授權單位結構

如果下列情況成立,請建立您自己的根 CA 結構:
  • 您可以建立一個可靠且有效的根 CA,並具有要執行這項操作,設備。
  • 只有您自己的組織中的使用者或有限數量的外部用戶端、 客戶或電腦,提供連線能力。
  • 您可以使用憑證來識別個人藉由將特定的登入帳戶關聯的憑證。
  • 您想讓最大的自由和彈性以建立、 指派,以及撤銷憑證沒有參照任何外部組織。
如果您實作,並維護 CA 結構 (不是一般作業) 需要電腦問題,以及維護永遠都是 [可用的憑證。如需有關如何安裝及設定憑證伺服器請參閱 Microsoft Windows 2000 Server 資源工具箱 」 和 Windows 2000 說明的詳細資訊。

您可能要考慮混合外部的 CA 和您自己的 CA 解決您的需求。比方說您可以為您公用電子商務網站使用外部 CA,並使用您自己的 CA 連線至 Exchange Server 電腦在網際網路上時,請確認您的員工身分識別。

取得您的憑證,或您設定您的 CA 之後,您必須在 Exchange Server 虛擬伺服器上安裝憑證。 此程序通常是相同的 HTTP 以外的所有伺服器類型的虛擬伺服器。若要安裝 [POP3]、 [IMAP4]、 [SMTP],] 及 [NNTP 虛擬伺服器上的 [憑證],使用 Exchange 系統管理員。若要進行 HTTP 虛擬伺服器使用 [(本文不會說明此程序) 的網際網路服務管理員]。

如何從外部憑證授權單位要求憑證

這個程序說明如何從外部 CA 在憑證要求必須準備和送到外部授權單位 (CA) 的情況下安裝憑證。您必須處理憑證檔案以不同的順序。

附註下列程序只適用於 [POP3]、 [IMAP4]、 [SMTP] 及 [NNTP。本文不會不會說明如何設定 SSL 的 HTTP。
  1. 按一下 [開始],指向 [程式集]、 指向 Microsoft Exchange,然後再按一下 [系統管理員]。
  2. 如果 顯示系統管理群組] 選項已開啟、 展開 系統管理群組,然後再展開 First Administrative Group (其中 First Administrative Group 是您的系統管理群組的名稱)。

    附註若要顯示系統管理群組,Your_Organization] 上按一下滑鼠右鍵,請依序按一下 [內容]、 [選取 [顯示系統管理群組] 核取方塊,按兩次 [確定],再重新啟動 Exchange 系統管理員。
  3. 展開 [伺服器]、 展開 Exchange Server 您要設定,並再展開 [通訊協定] 容器的容器。
  4. 展開您想要設定,以滑鼠右鍵按一下每個通訊協定 預設 Protocol_Name 虛擬伺服器 物件,然後再按 [內容
  5. 按一下 [存取] 索引標籤,然後按一下 [憑證]。
  6. 在 Web 伺服器憑證精靈 」 中按一下 [下一步],按一下 [建立新的憑證,然後再按一下 [下一步]
  7. 按一下 [準備要求現在,但傳送它稍後,然後按一下 [下一步]。
  8. 在 [名稱] 方塊中鍵入適當憑證的名稱或保留預設設定的 預設 Protocol_Name 虛擬伺服器
  9. 位元長度] 清單中按一下您想要使用,在位元長度,然後按一下 [下一步]。

    附註較長的金鑰長度會影響效能,而如此一來可視為較昂貴。
  10. 在 [組織] 方塊以及 [組織單位] 方塊],輸入組織和組織單位資訊,您想要求一個憑證的 CA,然後按一下 [下一步]。

    這項資訊通常可從 CA 的 Web 站台或當您以 「 CA 註冊資訊就會傳送給您。
  11. 在 [一般名稱] 方塊鍵入對您的站台一般名稱,然後按一下 [下一步]。

    附註如果想允許從網際網路存取這個名稱必須可以從外部解析一個完全符合規定的網域名稱 (FQDN)。這個 FQDN 必須對應到連結到虛擬伺服器的 IP 位址。
  12. 在 [國家/地區] 清單按一下 [您的國家或地區名稱]。
  13. 省/市] 方塊中,並在 城市/位置 方塊,輸入適合您組織的資訊,然後再按一下 [下一步]
  14. 檔案名稱] 方塊執行任一下列:
    • 請輸入一個名稱及您想要建立該憑證之位置的路徑。
    • 在此方塊保留預設檔案名稱。
  15. 按一下 [下一步]。
  16. 檢閱資訊上的 要求檔案摘要 頁面。如果東西不正確,按一下 上一步] 直到您到達頁面,必須先修正,然後按一下 下一步] 直到返回 要求的檔案摘要] 頁然後按一下 [下一步]
  17. 最後一頁確認已建立具有指定的檔案名稱的憑證。預設值是 磁碟機 name:\certreq.txt
  18. 按一下 [完成]。

如何從外部憑證授權單位安裝憑證

將您在前一節中建立到您的 CA 的憑證要求檔案傳送。另一個方法您的 CA 可能以 Web 為基礎的介面,可讓您提交憑證要求。您收到具有副檔名為.cer 的檔案。您會收到這個檔案之後重新啟動 Web 伺服器憑證精靈 」 來安裝這個憑證。要這麼做,請您執行下列步驟:
  1. 按一下 [開始],指向 [程式集]、 指向 Microsoft Exchange,然後再按一下 [系統管理員]。
  2. 如果 顯示系統管理群組] 選項已開啟、 展開 系統管理群組,然後再展開 First Administrative Group (其中預設系統管理群組是您的系統管理群組的名稱)。

    附註若要顯示系統管理群組,Your_Organization] 上按一下滑鼠右鍵,請依序按一下 [內容]、 [選取 [顯示系統管理群組] 核取方塊,按兩次 [確定],再重新啟動 Exchange 系統管理員。
  3. 展開 [伺服器]、 展開 Exchange Server 您要設定,並再展開 [通訊協定] 容器的容器。
  4. 展開您想要設定,以滑鼠右鍵按一下每個通訊協定 預設 Protocol_Name 虛擬伺服器 物件,然後再按 [內容
  5. 按一下 [存取] 索引標籤,然後按一下 [憑證]。
  6. Web 伺服器憑證精靈 」 重新啟動,並且您會收到通知您有擱置的憑證要求之後,按一下 [下一步]。
  7. 擱置的憑證要求] 頁面上按一下 [處理擱置要求及安裝憑證,然後按一下 [下一步]。
  8. 在 [處理擱置要求] 方塊輸入 [來自外部的 CA 憑證路徑]。
  9. 檢閱 [憑證摘要] 頁面,然後按一下 [下一步]。

    包含在憑證的資訊包括誰時在憑證到期,發出憑證憑證是用來進行。憑證好記名稱出現在 [憑證摘要] 頁面上也是包含在內。
  10. 您會收到通知虛擬伺服器上,成功地安裝憑證之後按一下 [完成]。

如何從 Microsoft 認證伺服器安裝憑證

如果您已經在 Windows 2000 上安裝認證伺服器服務,為根 CA 或次級 CA,您可以到線上 CA 直接傳送您的憑證伺服器要求。

附註您僅可以傳送要求給線上 CA 如果您已在 Active Directory 中安裝 CA 為企業 CA,而非獨立的 CA。
  1. 按一下 [開始],指向 [程式集]、 指向 Microsoft Exchange,然後再按一下 [系統管理員]。
  2. 如果 顯示系統管理群組] 選項已開啟、 展開 系統管理群組,然後再展開 First Administrative Group (其中 First Administrative Group 是您的系統管理群組的名稱)。

    附註若要顯示系統管理群組,Your_Organization] 上按一下滑鼠右鍵,請依序按一下 [內容]、 [選取 [顯示系統管理群組] 核取方塊,按兩次 [確定],再重新啟動 Exchange 系統管理員。
  3. 展開 [伺服器]、 展開 Exchange Server 您要設定,並再展開 [通訊協定] 容器的容器。
  4. 展開您想要設定,以滑鼠右鍵按一下每個通訊協定 預設 Protocol_Name 虛擬伺服器 物件,然後再按 [內容
  5. 按一下 [存取] 索引標籤,然後按一下 [憑證]。
  6. 在 Web 伺服器憑證精靈 」 中按一下 [下一步],按一下 [建立新的憑證,然後再按一下 [下一步]
  7. 在 [的 [延遲] 或 [立即要求] 頁面上按一下 [傳送要求到線上憑證授權單位立即,],再按 下一步]。
  8. 在 [名稱] 方塊中輸入適當的名稱來識別這個憑證,或接受預設名稱的預設值 Protocol_Name 虛擬伺服器。
  9. 位元長度] 清單中按一下您想要使用,位元長度,然後按一下 [下一步]。

    附註較長的金鑰長度對效能有不利的影響。
  10. 在 [組織] 方塊以及 [組織單位] 方塊],輸入組織和組織單位資訊為您的伺服器,然後按一下 [下一步]。
  11. 在 [一般名稱] 方塊鍵入對您的站台一般名稱,然後按一下 [下一步]。

    這與完整的 DNS 網域名稱 (FQDN) 對應到要使用此憑證相關通訊協定虛擬伺服器的 IP 位址相符。如果使用者從網際網路連線到此虛擬伺服器,此名稱必須是從外部可以解析的 FQDN。
  12. 在 [國家/地區] 清單按一下 [您的國家或地區名稱]。
  13. 省/市] 方塊中,並在 城市/位置 方塊,輸入適合您組織的資訊,然後再按一下 [下一步]
  14. 選擇憑證授權單位 網頁、 檢閱貴公司的線上 CA,然後按一下 [下一步]
  15. 檢閱您在精靈中輸入 憑證要求提交 網頁 」 上的詳細資料。如果東西不正確,按一下 上一步] 直到您到達頁面,必須先修正,然後按一下 下一步] 直到返回 要求的檔案摘要] 頁然後按一下 [下一步]
  16. 最後一頁可確認您所選取的虛擬伺服器上已安裝憑證。
  17. 按一下 [完成]。

如何開啟需要安全通道] 選項

安裝憑證之後您可以開啟 [POP3,IMAP4 和 SMTP 通訊協定的 [需要安全通道] 選項。

附註NNTP 通訊協定沒有設定,以開啟 [需要安全通道] 選項。
  1. 按一下 [開始],指向 [程式集]、 指向 Microsoft Exchange,然後再按一下 [系統管理員]。
  2. 如果 顯示系統管理群組] 選項已開啟、 展開 系統管理群組,然後再展開 First Administrative Group (其中預設系統管理群組是您的系統管理群組的名稱)。

    附註若要顯示系統管理群組,Your_Organization] 上按一下滑鼠右鍵,請依序按一下 [內容]、 [選取 [顯示系統管理群組] 核取方塊,按兩次 [確定],再重新啟動 Exchange 系統管理員。
  3. 展開 [伺服器]、 展開 Exchange Server 您要設定,並再展開 [通訊協定] 容器的容器。
  4. 展開您想要設定,以滑鼠右鍵按一下每個通訊協定 預設 Protocol_Name 虛擬伺服器 物件,然後再按 [內容
  5. 按一下 [存取] 索引標籤,然後按一下 [憑證]。
  6. 按一下以選取 [需要安全通道] 核取方塊。

    此外,您可以按一下以選取 需要 128 位元加密 方塊。不過,Exchange Server 電腦和任何連接的用戶端電腦必須支援 128 位元加密。
  7. 按一下 [確定],然後再按一下 [確定] 以接受變更並關閉虛擬伺服器內容。

如何確認您的憑證已正確安裝

若要確認您的虛擬伺服器使用 SSL 加密及安裝憑證正確,設定 Outlook Express 藉由增強安全性通道連線,然後使用 [驗證通訊協定封包加密的 [網路監視器。要這麼做,請您執行下列步驟:
  1. Microsoft Outlook Express 中按一下 [工具],然後按一下 [帳號]
  2. 按一下 [郵件] 索引標籤 (針對 POP3,IMAP4 或 SMTP)] 或 [NNTP) 的 [新聞] 索引標籤]。
  3. 連按兩下 [Exchange 伺服器帳戶的相關通訊協定,然後按一下 [進階] 索引標籤。
  4. 按一下以選取 [此伺服器需要安全連線 (SSL)] 核取方塊。

    如果您選取此的方塊的連接埠號碼從 110 變更為 995,POP3 IMAP4 通訊埠 143 從變更為 993、 NNTP 連接埠 119 從變更為 563,而 SMTP 通訊埠會保持在連接埠 25。
  5. 按一下 [確定],然後再按一下 [關閉]
  6. 執行 網路監視器 擷取,然後再連接到 [Exchange Server 電腦使用您剛設定的帳戶。當您檢查封包時,請確定您已在此設定的安全性通訊協定封包加密。

?考

「 憑證伺服器 」 服務的更多有關,請參閱 「 Microsoft Windows 2000 Server 資源工具箱 」 和 「 Microsoft Exchange 2000 伺服器資源工具箱 」。

本文中討論的協力廠商產品是由與 Microsoft 無關的公司所製造。Microsoft 可讓不以暗示或其他方式,效能或可靠性這些產品的保證。

屬性

文章編號: 823024 - 上次校閱: 2007年10月25日 - 版次: 1.3
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
關鍵字:?
kbmt kbhowto KB823024 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:823024
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com