如何配置域安全性的相互 TLS

2024年4月11日发(作者：)

如何配置域安全性的相互

TLS

适用于：

Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server

2007 SP1, Exchange Server 2007

主题上次修改时间：

2009-04-20

本主题将介绍如何使用

Exchange

命令行管理程序来为域安全性配置相互传输层安全性

(TLS)

，

TLS

是

Microsoft Exchange Server 2007

和

Microsoft Office Outlook 2007

中可提供比

S/MIME

开销相对低的替代方案和其他邮件级安全解决方案的功能集。

出于演示目的，本主题将介绍了虚拟公司

Contoso

的

Exchange

管理员如何配置其

Exchange 2007

环境，以便与其合作伙伴

Woodgrove Bank

交换域安全电子邮件。在此示

例中，

Contoso

希望使用相互

TLS

来确保与

Woodgrove Bank

往来的所有电子邮件都得到

保护。此外，

Contoso

希望配置域安全性功能，以便在无法使用相互

TLS

时拒绝与

Woodgrove Bank

往来的所有邮件。

Contoso

有一个用于生成证书的内部公钥基础结构

(PKI)

。

PKI

的根证书已被一个主要的第三

方证书颁发机构

(CA)

签名。因此，

Woodgrove Bank

使用相同的第三方

CA

来生成其证书。

Contoso

和

Woodgrove Bank

都信任对方的根

CA

。

为了设置相互

TLS

，

Contoso

的

Exchange

管理员执行以下步骤：

1.

生成

TLS

证书的证书请求。

2.

将证书导入到边缘传输服务器。

3.

配置出站域安全性。

4.

配置入站域安全性。

5.

测试邮件流。

开始之前

相互

TLS

的配置有以下要求：



使用

Set-TransportConfig cmdlet

和使用

New-SendConnector cmdlet

（如果尚未配置发送连接器）访问内部

Exchange 2007

服务器。



访问运行

ExchangeCertificate cmdlet

的边缘传输服务器计算机。

通常，对域安全功能进行的不使用

ExchangeCertificate cmdlet

的配置更改应当在组织内

进行，并使用

Microsoft Exchange EdgeSync

服务将这些更改同步到边缘传输服务器。

使用

ExchangeCertificate cmdlet

导入和配置

TLS

证书时，必须在正在配置的边缘传输

服务器上运行这些

cmdlet

。若要在安装了边缘传输服务器角色的计算机上运行

必须使用作为该计算机的本地管理员组成员的帐户进行登录。

ExchangeCertificate cmdlet

，

要运行

Set-TransportConfig cmdlet

，必须为您使用的帐户委派

Exchange

组织管理员

角色。

要运行

New-SendConnector cmdlet

，必须为您使用的帐户委派该计算机的

Exchange

Server

管理员角色和本地管理员组。

有关管理

Exchange 2007

所需的权限、角色委派以及权利的详细信息，请参阅权限注意事项。

本主题假设您已阅读并理解创建

TLS

证书或证书请求。

为了实现域安全性，必须完全部署

Microsoft Exchange EdgeSync

服务。

必须配置计算机和

PKI

环境以便执行证书验证和证书撤消列表检查，才能在边缘传输服务器上

成功运行相互

TLS

。有关详细信息，请参阅如何启用边缘传输服务器上的

PKI

以确保域安全。

生成

TLS

证书的证书请求

如本主题上文中所述，

Contoso

有一个从属于第三方

CA

的内部

PKI

。在此示例中，从属是

指

Contoso

在其公司基础结构中部署的

CA

包含已由公开的第三方

CA

签名的根证书。默认

情况下，公开的第三方

CA

是

Microsoft Windows

证书存储中的受信任根证书之一。因此，

在其受信任的根存储中包括相同的第三方

CA

并连接到

Contoso

的任何客户端都可以向

Contoso

提供的证书进行身份验证。

Contoso

有两个需要

TLS

证书的边缘传输服务器：

和

。因此，

Contoso

电子邮件管理员必须生成两个证书请求，每个服

务器对应一个证书请求。

以下步骤显示管理员用于生成以

base64

编码的

PKCS#10

证书请求的命令。

Contoso

管理

员必须运行两次此命令：一次对

CN=

运行，另一次对

CN=

运行。

注意：

结果证书的主题名称中的公用名 (CN) 分别是 和

。主题备用名称包含“”，这是为 Contoso 配

置的一个接受域的完全限定的域名 (FQDN)。

创建

TLS

证书请求



运行以下命令：

复制代码

New-ExchangeCertificate -GenerateRequest

-FriendlyName "Internet certificate" -Path

c:certificatesrequest.p7c -SubjectName