云南龙网

  1. 首页 > 云知道 > >

Exchange2007 域安全实现手册( 四 )

云知道


;
若要通过运行 Certutil 来验证给定证书的证书链,该证书必须采用文件 (.cer) 格式 。因此,必须先将证书(但不包括私钥)导出为 DER (.cer) 文件格式 。
第一步说明如何将“证书管理器管理单元添加到 Microsoft 管理控制台 (MMC) 中 。第二步说明如何使用证书管理器导出证书 。第三步说明如何运行 Certutil 命令来验证证书链 。
若要执行这些步骤,必须为您使用的帐户委派以下角色:
本地 Administrators 组中的成员
将证书管理器添加到 Microsoft 管理控制台中
1. 单击“开始,再单击“运行,键入 mmc,然后单击“确定 。
2. 在“文件菜单中,单击“添加/删除管理单元 。
3. 在“添加/删除管理单元框中,单击“添加 。
4. 在“可用的独立管理单元列表中,单击“证书,然后单击“添加 。
5. 单击“计算机帐户,再单击“下一步 。
6. 单击“本地计算机(运行此控制台的计算机)选项,然后单击“完成 。
7. 单击“关闭,再单击“确定 。
导出证书
1. 打开在第一步中创建的证书管理器 。
2. 依次打开“证书 (本地计算机)文件夹、“个人文件夹和“证书文件夹 。
3. 在详细信息窗格中,右键单击将用于域安全性的证书,单击“所有任务,然后选择“导出 。此时将打开证书导出向导 。
4. 在“欢迎页上,单击“下一步 。
5. 在“导出私钥页上,选择“否,不导出私钥,然后单击“下一步 。
6. 在“导出文件格式页上,选择“DER 编码二进制 X.509 (.CER),然后单击“下一步 。
7. 在“要导出的文件页上,输入要将导出的证书保存到的路径和文件名,然后单击“下一步 。
8. 在“完成页上验证设置,然后单击“完成 。
验证证书的证书链
在边缘传输服务器上,打开命令提示符窗口 。键入以下命令:
Certutil -verify c:CertificateName.cer
其中 CertificateName 是在上一步中导出的边缘传输服务器证书 。
;
为域安全配置相互TLS
本主题将介绍如何使用 Exchange 命令行管理程序来为域安全性配置相互传输层安全性 (TLS),TLS 是 Microsoft Exchange Server 2007 和 Microsoft Office Outlook 2007 中可提供比 S/MIME 开销相对低的替代方案和其他邮件级安全解决方案的功能集 。
出于演示目的,本主题将介绍了虚拟公司 Contoso 的 Exchange 管理员如何配置其 Exchange 2007 环境,以便与其合作伙伴 Woodgrove Bank 交换域安全电子邮件 。在此示例中,Contoso 希望使用相互 TLS 来确保与 Woodgrove Bank 往来的所有电子邮件都得到保护 。此外,Contoso 希望配置域安全性功能,以便在无法使用相互 TLS 时拒绝与 Woodgrove Bank 往来的所有邮件 。
Contoso 有一个用于生成证书的内部公钥基础结构 (PKI) 。PKI 的根证书已被一个主要的第三方证书颁发机构 (CA) 签名 。Woodgrove Bank 使用相同的第三方 CA 来生成其证书 。因此,Contoso 和 Woodgrove Bank 都信任对方的根 CA 。
为了设置相互 TLS,Contoso 的 Exchange 管理员执行以下步骤:
1. 生成 TLS 证书的证书请求 。
2. 将证书导入到边缘传输服务器 。
3. 配置出站域安全性 。
4. 配置入站域安全性 。
5. 测试邮件流 。
相互 TLS 的配置有以下要求:
1. 使用 Set-TransportConfig cmdlet 和使用 New-SendConnector cmdlet(如果尚未配置发送连接器)访问内部 Exchange 2007 服务器 。
2. 访问运行 ExchangeCertificate cmdlet 的边缘传输服务器计算机 。
通常,不使用 ExchangeCertificate cmdlet 对域安全功能进行的配置更改应当在组织内进行,并使用 Microsoft Exchange EdgeSync 服务将这些更改同步到边缘传输服务器 。

推荐阅读


上一篇:竹村五郎怎么不死

下一篇:Linux中遇到device linux中遇到的困难