云南龙网

  1. 首页 > 云知道 > >

Exchange2007 域安全实现手册( 五 )

云知道


使用 ExchangeCertificate cmdlet 导入和配置 TLS 证书时,必须在正在配置的边缘传输服务器上运行这些 cmdlet 。若要在安装了边缘传输服务器角色的计算机上运行 ExchangeCertificate cmdlet,必须使用作为该计算机的本地管理员组成员的帐户进行登录 。
要运行 Set-TransportConfig cmdlet,必须为您使用的帐户委派 Exchange 组织管理员角色 。
要运行 New-SendConnector cmdlet,必须为您使用的帐户委派该计算机的 Exchange Server 管理员角色和本地管理员组 。
为了实现域安全性,必须完全部署 Microsoft Exchange EdgeSync 服务 。
生成 TLS 证书的证书请求
如本主题上文中所述,Contoso 有一个从属于第三方 CA 的内部 PKI 。在此示例中,从属是指 Contoso 在其公司基础结构中部署的 CA 包含已由公开的第三方 CA 签名的根证书 。默认情况下,公开的第三方 CA 是 Microsoft Windows 证书存储中的受信任根证书之一 。因此,在信任的根存储中包括相同的第三方 CA的任何客户端,当它们连接到Contoso,就能够对Contoso 提供的证书进行身份验证 。
;
Contoso 有两个需要 TLS 证书的边缘传输服务器:mail1.contoso.com 和 mail2.mail.contoso.com 。因此,Contoso 电子邮件管理员必须生成两个证书请求,每个服务器对应一个证书请求 。
以下步骤显示管理员用于生成以 base64 编码的 PKCS#10 证书请求的命令 。Contoso 管理员必须运行两次此命令:一次对 CN=mail1.contoso.com 运行,另一次对 CN=mail2.mail.contoso.com 运行 。
注意:
结果证书的主题名称中的公用名 (CN) 分别是 mail1.contoso.com 和 mail2.mail.contoso.com 。主题备用名称包含"mail.contoso.com",这是为 Contoso 配置的一个接受域的完全限定的域名 (FQDN) 。
创建 TLS 证书请求
运行以下命令:
New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate" -Path c:certificatesrequest.p7c -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com
重要信息:您创建的证书或证书请求的特定详细信息取决于许多变量 。如果您正在生成请求,请确保与将颁发证书的 CA 或 PKI 管理员密切配合 。
传输证书和相关密钥
当您从 PKI 或 CA 提供者那里收到证书后,请将所颁发的证书转换为 PFX (PKCS#12) 文件,以便将其作为灾难意外事故的一部分进行备份 。PFX 文件包含证书和相关密钥 。在某些情况下,您可能需要传输证书和密钥以将其移动到其他计算机 。例如,如果您有多个边缘传输服务器,并希望在这些服务器中发送和接收"域安全"电子邮件,则您可以创建一个用于所有服务器的证书 。在这种情况下,您必须在每个边缘传输服务器上为 TLS 导入并启用该证书 。
只要将 PFX 文件的副本安全存档,就始终可以导入和启用该证书 。PFX 文件包含私钥,因此通过将该文件保存在安全位置的存储媒体中进行物理保护非常重要 。
了解 Import-ExchangeCertificate cmdlet 总是将从 PFX 导入的私钥标记为不可导出很重要 。该功能是特意设计的 。
在使用 Microsoft 管理控制台 (MMC) 中的证书管理器管理单元来导入 PFX 文件时,可以指定私钥的可导出性和强密钥保护 。
重要信息:
不要对用于 TLS 的证书启用强密钥保护 。用户每次访问私钥,强密钥保护都会提示用户 。对于域安全,此处的"用户"是指边缘传输服务器上的 SMTP 服务 。
将证书导入边缘传输服务器
管理员生成证书请求之后,使用该请求为服务器生成证书 。结果证书必须作为单个证书或证书链进行颁发,并复制到合适的边缘传输服务器 。
重要信息:
要导入证书,则必须使用 Import-ExchangeCertificate cmdlet 。

推荐阅读


上一篇:竹村五郎怎么不死

下一篇:Linux中遇到device linux中遇到的困难