尽管您能够为中心传输服务器配置域安全,我们建议您在边缘传输服务器上运行域安全功能 。在这篇文章中,我们假设您使用边缘传输服务器作为面向Internet 的传输服务器 。
;
使用边缘传输服务器的另一个前提条件是通过边缘订阅过程订阅所有的边缘传输服务器到Exchange 组织 。
在广泛部署证书到所有的边缘传输服务器之前,一些组织可能想和其他伙伴组织测试域安全的功能,在这种场景下,您可能考虑创建一个子域,像test.contoso.com,来测试域安全 。如果您创建子域的话,您必须为该子域更新MX资源记录,以便伙伴组织能够找到该测试域 。
启用边缘传输服务器上的PKI
因为,域安全依赖于相互传输层安全性 (TLS) 身份验证 。成功的相互 TLS 身份验证依赖用于域安全的 TLS 证书的受信任的、经过验证的 X.509 证书链 。
所以,必须先配置边缘传输服务器和 X.509 公钥基础结构 (PKI) 以容纳证书信任和证书验证,才能成功部署域安全 。
配置根证书颁发机构
若要验证给定的 X.509 证书,必须信任颁发证书的根证书颁发机构 (CA) 。根 CA 是最受信任的 CA,位于 CA 的顶部 。根 CA 具有自签名证书 。运行依赖于证书颁发机构的应用程序时,每个证书必须具有结束于本地计算机的受信任根容器中的证书的证书链 。受信任根容器包含来自根证书颁发机构的证书 。
若要成功发送域安全的电子邮件,必须能够验证接收服务器的 X.509 证书 。类似地,当某个用户向您的组织发送域安全的电子邮件时,发送服务器必须能够验证您的证书 。
有两种类型的受信任的根 CA,用于实施域安全:内置的第三方根 CA 和私有根 CA 。
第三方根证书颁发机构
Microsoft Windows 包括一组内置的第三方根 CA 。如果信任由这些第三方根 CA 颁发的证书,则表示可以验证由这些 CA 颁发的证书 。如果您的组织和伙伴组织使用的是默认 Windows 安装,且信任内置的第三方根 CA,则信任是自动的 。在此方案中,不需要其他信任配置 。
私有受信任的根证书颁发机构
私有受信任的根 CA 是已经由私有 PKI 或内部 PKI 部署的根 CA 。例如,当您的组织或与之交换域安全的电子邮件的组织已使用自己的根证书部署内部 PKI 时,必须进行其他信任配置 。
使用私有根 CA 时,必须更新存储在边缘传输服务器上的 Windows 受信任的根证书,以确保域安全功能正常工作 。
可以使用两种方法配置信任:直接根信任和交叉证书 。必须了解传输服务无论何时拾取证书,都会在使用该证书之前对其进行验证 。因此,如果使用私有根 CA 颁发证书,则必须将该私有根 CA 包括在位于发送或接收域安全的电子邮件的每个边缘传输服务器上的受信任的根证书存储中 。
直接根信任
如果需要信任某个已由私有根 CA 颁发的证书,可以手动将此根证书添加到边缘传输服务器计算机上的受信任的根证书存储 。
交叉证书
当一个 CA 签署由另一个 CA 生成的证书时,出现交叉证书 。交叉证书使用一个 PKI 构建对另一个 PKI 的信任 。在域安全的上下文中,如果您拥有自己的 PKI,则您可能为在您的根颁发机构下的伙伴 CA 创建交叉证书,而不是对带有内部 PKI 的伙伴的根颁发机构使用直接手动信任 。在这种情况下,会由于交叉证书最终链回到受信任根而建立信任 。
必须了解如果拥有内部 PKI 且正在使用交叉证书,则必须在每个接收域安全的电子邮件的边缘传输服务器上手动更新根证书存储,以便每个边缘传输服务器在从通过交叉证书获得信任的伙伴处接收电子邮件时,可以对证书进行验证 。
推荐阅读
- win7家庭版局域网怎么共享文件 win7家庭版局域网怎么共享文件夹
- 恋爱中女生怎样给自己安全感 恋爱中如何避免想太多
- web安全主要分为几个方面 web安全主要分为几个方面
- 侧安全气囊位置在哪
- 如何通过组策略将域用户设置为本地管理员账户
- 消防安全要注意什么事项
- “让成长更美好”青少年食品安全与营养健康科普教育体验活动走进厦门肯德基
- 八 ISA 2004王者归来
- 电脑怎么进入安全模式 电脑怎么进入安全模式win10
- win11电脑安全模式怎么进入 win11开机如何进入安全模式