如何配置域安全性的相互TLS.docxVIP

如何配置域安全性的相互 TLS适用于：Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007主题上次修改时间：2009-04-20本主题将介绍如何使用 Exchange 命令行管理程序来为域安全性配置相互传输层安全性 (TLS)，TLS 是 Microsoft Exchange?Server?2007 和 Microsoft Office?Outlook?2007 中可提供比 S/MIME 开销相对低的替代方案和其他邮件级安全解决方案的功能集。出于演示目的，本主题将介绍了虚拟公司Contoso的 Exchange?管理员如何配置其 Exchange?2007 环境，以便与其合作伙伴Woodgrove Bank 交换域安全电子邮件。在此示例中，Contoso希望使用相互 TLS 来确保与Woodgrove Bank 往来的所有电子邮件都得到保护。此外，Contoso希望配置域安全性功能，以便在无法使用相互 TLS 时拒绝与Woodgrove Bank 往来的所有邮件。Contoso有一个用于生成证书的内部公钥基础结构 (PKI)。PKI 的根证书已被一个主要的第三方证书颁发机构 (CA) 签名。Woodgrove Bank 使用相同的第三方 CA 来生成其证书。因此，Contoso和Woodgrove Bank 都信任对方的根 CA。为了设置相互 TLS，Contoso的 Exchange 管理员执行以下步骤：生成 TLS 证书的证书请求。将证书导入到边缘传输服务器。配置出站域安全性。配置入站域安全性。测试邮件流。?开始之前相互 TLS 的配置有以下要求：使用Set-TransportConfigcmdlet和使用New-SendConnectorcmdlet（如果尚未配置发送连接器）访问内部 Exchange?2007 服务器。访问运行ExchangeCertificatecmdlet的边缘传输服务器计算机。通常，对域安全功能进行的不使用ExchangeCertificatecmdlet的配置更改应当在组织内进行，并使用 Microsoft Exchange EdgeSync服务将这些更改同步到边缘传输服务器。使用ExchangeCertificatecmdlet导入和配置 TLS 证书时，必须在正在配置的边缘传输服务器上运行这些cmdlet。若要在安装了边缘传输服务器角色的计算机上运行ExchangeCertificatecmdlet，必须使用作为该计算机的本地管理员组成员的帐户进行登录。要运行Set-TransportConfigcmdlet，必须为您使用的帐户委派 Exchange 组织管理员角色。要运行New-SendConnectorcmdlet，必须为您使用的帐户委派该计算机的 Exchange Server 管理员角色和本地管理员组。有关管理 Exchange?2007 所需的权限、角色委派以及权利的详细信息，请参阅权限注意事项。本主题假设您已阅读并理解创建 TLS 证书或证书请求。为了实现域安全性，必须完全部署 Microsoft Exchange EdgeSync服务。必须配置计算机和 PKI 环境以便执行证书验证和证书撤消列表检查，才能在边缘传输服务器上成功运行相互 TLS。有关详细信息，请参阅如何启用边缘传输服务器上的 PKI 以确保域安全。?生成 TLS 证书的证书请求如本主题上文中所述，Contoso有一个从属于第三方 CA 的内部 PKI。在此示例中，从属是指Contoso在其公司基础结构中部署的 CA 包含已由公开的第三方 CA 签名的根证书。默认情况下，公开的第三方 CA 是 Microsoft?Windows 证书存储中的受信任根证书之一。因此，在其受信任的根存储中包括相同的第三方 CA 并连接到Contoso的任何客户端都可以向Contoso提供的证书进行身份验证。Contoso有两个需要 TLS 证书的边缘传输服务器： 和 。因此，Contoso电子邮件管理员必须生成两个证书请求，每个服务器对应一个证书请求。以下步骤显示管理员用于生成以 base64 编码的 PKCS#10 证书请求的命令。Contoso管理员必须运行两次此命令：一次对 CN= 运行，另一次对 CN= 运行。注意：结果证书的主题名称中的公用名 (CN) 分别是 和 。主题备用名称包含“”，这是为Contoso配置的一个接受域的完全限定的域名 (FQDN)。?创建 TLS 证书请求运行以下命令：复制代码New-ExchangeCertificate -GenerateRequest