部署 Exchange 域安全
Exchange 2007 中引入了域安全 (Domain Security),用来代替 S/MIME 保证特定域间 邮件传递过程中 的安全。
因为S/MIME 常常需要客户端做很多关于证书的操作,管理起来不方便,而域安全保证了 邮件从一个服务器到另一个服务器传递过程中的安全,并不需要客户端做任何配置,配置起来比较简便。
部署之前先搞清楚几个基本概念:
TLS (Transport Layer Security): 你可以把它理解为 SSL,原理和 SSL 是类似的,只是实现方式 和 加、解密的算法有所不同,是根据 SSL 发展来的,可以理解为加密 SMTP 的 SSL。具体参看 Exchange 证书基础知识。
图:接收连接器上启用了TLS,表明对方可以使用 TLS 加密方式向你传输邮件
图:发送连接器上的 RequireTLS 参数可以设定 当你发送邮件的时候是否需要接收方提供 TLS 的方式。
相互身份验证(mutual authentication):一般,当你使用 TLS 加密向对方发送一封邮件时,只需要验证对方的证书信息就可以了,接收方对发送方没有验证的必要。相互的身份验证顾名思义,就是双方互相进行身份验证,发送方和接收方都需要出示有效的证书。
直接信任(Direct trust):是 HUB 和 EDGE 之间用来进行验证的一种方法,是区别于x.509 验证而言的,一般的证书验证方法要去访问CA,看看证书有没有被吊销之类的。HUB 和 EDGE 使用的是相互身份验证,验证方法是直接信任,就是AD中有EDGE的证书,那么 HUB 就信任了 EDGE, ADAM 中有 HUB 的证书,EDGE 也就信任了 HUB。证书的验证并不需要联系 CA. 做了Edge Sync 后,HUB和EDGE的直接信任就开启了。
机会型 TLS (Opportunistic TLS): Exchange 2007 使用的是 机会型 TLS,意思就是,只要接收方提供了TLS这种方式,Exchange 2007 就总是使用 TLS 来发送邮件,以最大限度保证安全性。
图:发送连接器上的参数 IgnoreSTARTTLS 设成 True 的时候 机会型 TLS 就会被禁用。
部署域安全
部署域安全需要发送方 和 接收方都需要配置,下面使用 Windows CA 在发送方进行配置,接收方也需要做相同的配置。
步骤:
一,安装证书
二,传输配置
三,发送,接收连接器的配置
一,安装证书
下面使用Windows 企业 CA 生成证书,并且域使用Hub 服务器来发送接收邮件,如果使用三方证书颁发机构的证书,或者使用 Edge 服务器来发送邮件,配置上可能稍有不同。
图:安装 企业CA
图:使用 New-ExchangeCertificate 生成证书申请文件
图:使用 web 页面申请证书
图:把生成的申请文件复制进去,然后点击申请
图: 下载证书到 C:\
图:使用 Import-ExchangeCertificate 导入证书, 并且把证书绑定在 SMTP 服务上
信任对方的证书
这个时候安装证书已经完成了,如果对方使用也是自己建立的CA,由于默认的情况对方的CA是不被发送方信任的,所以要把对方CA 的根证书装在自己的 hub 上.
图:安装对方的根证书
Exchange 域安全使用的是 mutual Authencation, 进行相互的身份验证,当发送一封信的时候,接收方需要验证发送方的证书,发送方也会验证接收方的证书,所以双方必须信任对方的证书颁发机构。
二,传输配置
图:TLSReceiveDomainSecureList 把对方的域名加进来,让northwind.local 可以使用域安全发信进来
TLSSendDomainSecureList 把自己发信的域加进来。
三,发送,接收连接器的配置
图:建立一个向对方发信的发送连接器,并启用域安全。
图:建立一个接受连接器用来接收 域安全 邮件,选择类型为 Partner (伙伴)
图:验证和权限设置
这样就可以向配置好的搭档发送域安全邮件了,邮件在OWA里显示没有什么特别,但是在Outlook 2007 中显示域安全的标记。
图: Outlook 2007 中会显示域安全的标记
部署中要注意的问题
Exchange 2007 安装中自动生成的证书不能用于 域安全,由于没有合格的证书颁发机构,自带的证书是无法被验证的。
域安全在验证对方证书的时候,会去访问CRL,所以这个链接一定是要可以访问的。
如果域安全部署有问题,要检查一下应用程序日志,一般会找到跟证书相关的错误,可以得到相应的解决方法。
 |
 |
社区:
