如何針對網域安全性啟用 Edge Transport Server 的 PKI
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2007-08-28
網域安全性依賴相互傳輸層安全性 (TLS) 進行驗證。對用於網域安全性的 TLS 憑證而言,成功的相互 TLS 驗證會依賴信任且已驗證的 X.509 憑證鏈結。
因此,您必須先設定 Edge Transport Server 和 X.509 公開金鑰基礎結構 (PKI) 來提供憑證信任和憑證驗證,才能順利部署網域安全性。
.gif "important") 重要事項: |
|---|
| 密碼編譯及憑證技術和概念的詳細解說不在本主題的討論範圍內。在部署任何採用密碼編譯和 X.509 憑證的安全性解決方案之前,建議您先了解信任、驗證、加密及公開和私密金鑰交換的基本概念,因為這些都與密碼編譯有關。如需相關資訊,請參閱本主題最後列出的參考資料。 |
設定根憑證授權單位
若要驗證指定的 X.509 憑證,您必須信任發行憑證的根憑證授權單位 (CA)。根 CA 是最受信任的 CA,位於 CA 的頂端。根 CA 是自行簽署的憑證。在執行依賴憑證驗證的應用程式時,每個憑證的憑證鏈結必須以本機電腦之信任根容器中的憑證為結尾。信任的根容器包含來自根憑證授權單位的憑證。
您必須能夠驗證接收伺服器的 X.509 憑證,才能順利傳送安全網域電子郵件。同樣地,當某人傳送安全網域電子郵件至您的組織時,傳送伺服器必須能夠驗證您的憑證。
有兩種信任根 CA 可用來實作網域安全性:內建的協力廠商根 CA 和私密根 CA。
協力廠商根憑證授權單位
Microsoft Windows 包含一組內建的協力廠商根 CA。如果您信任這些協力廠商根 CA 所發行的憑證,則表示您可以驗證這些 CA 所發行的憑證。如果您的組織和協力組織都是使用預設的 Windows 安裝且信任內建的協力廠商根 CA,則會自動形成信任關係。在此情況下,不需要其他的信任組態。
私密信任根憑證授權單位
私密信任根 CA 是指私密或內部 PKI 所部署的根 CA。例如,當您的組織或與您交換安全網域電子郵件的組織已使用本身的根憑證來部署內部 PKI 時,您必須執行額外的信任組態。
使用私密根 CA 時,您必須更新 Edge Transport Server 上的 Windows 信任根憑證存放區,網域安全性才能正常運作。
設定信任的方式有兩種:直接根信任和交互憑證。請注意,每當傳輸服務接獲憑證時,一律先驗證憑證之後才會使用它。因此,如果您使用私密根 CA 來發行憑證,則必須將私密根 CA 納入會傳送或接收安全網域電子郵件之每部 Edge Transport Server 上的任根憑證存放區。
直接根信任
若您想要信任私密根 CA 所發行的憑證,則必須手動將根憑證加入至 Edge Transport Server 電腦上的信任根憑證存放區。如需如何手動將憑證加入本機憑證存放區的相關資訊,請參閱 Microsoft Management Console (MMC) 之 [憑證管理員] 嵌入式管理單元中的 [說明] 檔案。
交互憑證
當一個 CA 簽署由另一個 CA 所產生的憑證時,即會發生所謂的交互憑證。交互憑證是用來建立 PKI 之間的信任。就網域安全性的內容來說,如果您有自己的 PKI,您可能會在自己的根授權下建立夥伴 CA 的交互憑證,而不會對有內部 PKI 之夥伴的根授權使用直接的手動信任。在此情況下會建立信任,因為交互驗證最終還是會鏈結到您信任的根 CA。
請注意,如果您有內部 PKI 且使用交互驗證,則必須在會接收安全網域電子郵件的每部 Edge Transport Server 上手動更新根憑證存放區,讓每部 Edge Transport Server 在收到由交互驗證所信任之夥伴送來的電子郵件時可以驗證憑證。
如需如何手動將憑證加入本機憑證存放區的相關資訊,請參閱 MMC 之 [憑證管理員] 嵌入式管理單元中的 [說明] 檔案。
設定憑證撤銷清單的存取
每當傳輸服務收到憑證時,即會驗證憑證鏈結和憑證。憑證驗證過程中,會確認許多的憑證屬性。大部份的屬性均可由本機電腦上要求憑證的應用程式來確認。例如,憑證的預定用途、憑證的到期日及類似屬性,皆可在 PKI 的範圍之外加以驗證。不過,必須由發行憑證的 CA 來確認憑證尚未撤銷的驗證。因此,大部份的 CA 都會對外公開憑證撤鎖清單 (CRL),以驗證撤銷狀態。
為了順利使用網域安全性,您或夥伴所使用的 CA 的 CRL 必須可供傳送和接收安全網域電子郵件的 Edge Transport Server 使用。如果撤銷檢查失敗,接收 Exchange 伺服器會發出暫時性的通訊協定以拒絕郵件。可能發生短暫的撤銷失敗。例如,用來發佈 CRL 的網頁伺服器故障。或者,Edge Transport Server 和 CRL 發佈點之間常見的網路連線問題導致撤銷檢查失敗。因此,短暫的撤銷失敗只會導致郵件傳遞延遲,因為傳送伺服器稍後仍會重試。然而,需要 CRL 驗證,才能順利完成安全網域電子郵件傳輸。
您必須符合下列條件:
- Edge Transport Server 必須能夠存取外部 CA 的 CLS 與您交換安全網域電子郵件的每個夥伴,都必須有公開的 CRL,可供您組織內的 Edge Transport Server 進行連絡時使用。在某些情況下,只有透過輕量型目錄存取通訊協定 (LDAP) 才能取得 CRL。在大部分情況下,公用 CA 的 CRL 會透過 HTTP 來發佈。請確定已設定適當的輸出通訊埠及 Proxy,讓 Edge Transport Server 可連絡 CRL。您可以在 MMC 開啟憑證並檢視 [CRL 發佈點] 欄位,判斷特定 CRL 發佈點接受哪一種通訊協定。
- 您必須公佈會發行憑證之 CA 的 CRL 請注意,即使 Edge Transport Server 會從您自己的組織擷取憑證,它仍會驗證憑證鏈結來驗證憑證。因此,CA 的 CRL 必須可供您自己的 Edge Transport Server 使用。此外,與您交換安全網域電子郵件的所有夥伴也必須可以存取會發行憑證之 CA 的 CRL。
設定 WinHTTP 的 Proxy 設定
Exchange 2007 傳輸伺服器依賴基礎 Microsoft Windows HTTP Services (WinHTTP) 來管理所有 HTTP 及 HTTPS 流量。Hub Transport Server 及 Edge Transport Server 都會使用 HTTP 來存取「Microsoft Exchange 2007 標準反垃圾郵件篩選器更新」及 Microsoft Forefront Security for Exchange Server 反垃圾郵件更新服務的更新,以及 CRL 驗證用的更新。
如需相關資訊,請參閱如何設定 WinHTTP 的 Proxy 設定。
測試 PKI 及 Proxy 組態
若要確認特定 Edge Transport Server 的 PKI 及 Proxy 組態,請使用 Certutil.exe 確認 Edge Transport Server 憑證的憑證鏈結。Certutil.exe 是一種命令列工具,會在 Windows Server 2003 作業系統中安裝成憑證服務的一部分。如需相關資訊,請參閱如何測試 PKI 和 Proxy 組態。
相關資訊
如需目前運用 Exchange 特定網站之憑證授權單位的相關資訊,請參閱 Microsoft 知識庫文章 929395 Exchange 2007 與 Communications Server 2007 的整合通訊憑證廠商 (英文)。
如需密碼編譯及憑證技術和概念的相關資訊,請參閱下列出版品:
- Housley, Russ and Tim Polk.Planning for PKI:Best Practices Guide for Deploying Public Key Infrastructure.New York:John Wiley & Son, Inc., 2001.
- Adams, Carlisle and Steve Lloyd.Applied Cryptography:Protocols, Algorithms, and Source Code in C, 2nd Edition.New York:John Wiley & Son, Inc., 1996.
- 執行 Microsoft Windows Server 2003 公開金鑰基礎結構的最佳作法
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.