日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Exchange2007 域安全實現(xiàn)手冊( 二 )

云知道


盡管您能夠為中心傳輸服務(wù)器配置域安全,我們建議您在邊緣傳輸服務(wù)器上運行域安全功能 。在這篇文章中,我們假設(shè)您使用邊緣傳輸服務(wù)器作為面向Internet 的傳輸服務(wù)器 。
;
使用邊緣傳輸服務(wù)器的另一個前提條件是通過邊緣訂閱過程訂閱所有的邊緣傳輸服務(wù)器到Exchange 組織 。
在廣泛部署證書到所有的邊緣傳輸服務(wù)器之前,一些組織可能想和其他伙伴組織測試域安全的功能,在這種場景下,您可能考慮創(chuàng)建一個子域,像test.contoso.com,來測試域安全 。如果您創(chuàng)建子域的話,您必須為該子域更新MX資源記錄,以便伙伴組織能夠找到該測試域 。
啟用邊緣傳輸服務(wù)器上的PKI
因為,域安全依賴于相互傳輸層安全性 (TLS) 身份驗證 。成功的相互 TLS 身份驗證依賴用于域安全的 TLS 證書的受信任的、經(jīng)過驗證的 X.509 證書鏈 。
所以,必須先配置邊緣傳輸服務(wù)器和 X.509 公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 以容納證書信任和證書驗證,才能成功部署域安全 。
配置根證書頒發(fā)機構(gòu)
若要驗證給定的 X.509 證書,必須信任頒發(fā)證書的根證書頒發(fā)機構(gòu) (CA) 。根 CA 是最受信任的 CA,位于 CA 的頂部 。根 CA 具有自簽名證書 。運行依賴于證書頒發(fā)機構(gòu)的應(yīng)用程序時,每個證書必須具有結(jié)束于本地計算機的受信任根容器中的證書的證書鏈 。受信任根容器包含來自根證書頒發(fā)機構(gòu)的證書 。
若要成功發(fā)送域安全的電子郵件,必須能夠驗證接收服務(wù)器的 X.509 證書 。類似地,當(dāng)某個用戶向您的組織發(fā)送域安全的電子郵件時,發(fā)送服務(wù)器必須能夠驗證您的證書 。
有兩種類型的受信任的根 CA,用于實施域安全:內(nèi)置的第三方根 CA 和私有根 CA 。
第三方根證書頒發(fā)機構(gòu)
Microsoft Windows 包括一組內(nèi)置的第三方根 CA 。如果信任由這些第三方根 CA 頒發(fā)的證書,則表示可以驗證由這些 CA 頒發(fā)的證書 。如果您的組織和伙伴組織使用的是默認(rèn) Windows 安裝,且信任內(nèi)置的第三方根 CA,則信任是自動的 。在此方案中,不需要其他信任配置 。
私有受信任的根證書頒發(fā)機構(gòu)
私有受信任的根 CA 是已經(jīng)由私有 PKI 或內(nèi)部 PKI 部署的根 CA 。例如,當(dāng)您的組織或與之交換域安全的電子郵件的組織已使用自己的根證書部署內(nèi)部 PKI 時,必須進行其他信任配置 。
使用私有根 CA 時,必須更新存儲在邊緣傳輸服務(wù)器上的 Windows 受信任的根證書,以確保域安全功能正常工作 。
可以使用兩種方法配置信任:直接根信任和交叉證書 。必須了解傳輸服務(wù)無論何時拾取證書,都會在使用該證書之前對其進行驗證 。因此,如果使用私有根 CA 頒發(fā)證書,則必須將該私有根 CA 包括在位于發(fā)送或接收域安全的電子郵件的每個邊緣傳輸服務(wù)器上的受信任的根證書存儲中 。
直接根信任
如果需要信任某個已由私有根 CA 頒發(fā)的證書,可以手動將此根證書添加到邊緣傳輸服務(wù)器計算機上的受信任的根證書存儲 。
交叉證書
當(dāng)一個 CA 簽署由另一個 CA 生成的證書時,出現(xiàn)交叉證書 。交叉證書使用一個 PKI 構(gòu)建對另一個 PKI 的信任 。在域安全的上下文中,如果您擁有自己的 PKI,則您可能為在您的根頒發(fā)機構(gòu)下的伙伴 CA 創(chuàng)建交叉證書,而不是對帶有內(nèi)部 PKI 的伙伴的根頒發(fā)機構(gòu)使用直接手動信任 。在這種情況下,會由于交叉證書最終鏈回到受信任根而建立信任 。
必須了解如果擁有內(nèi)部 PKI 且正在使用交叉證書,則必須在每個接收域安全的電子郵件的邊緣傳輸服務(wù)器上手動更新根證書存儲,以便每個邊緣傳輸服務(wù)器在從通過交叉證書獲得信任的伙伴處接收電子郵件時,可以對證書進行驗證 。

推薦閱讀