Exchange 2007中直接信任证书.docVIP

【IT专家网独家】在Exchange 2007中，当安装一台中心传输服务器或者边缘传输服务器的时候，系统会自动创建一张缺省的证书，该证书由Exchange 自己生成的，和实际的CA生成的证书相反。该证书是自签名的。这张缺省的证书就变成直接信任证书。 　　该直接信任证书保存在两个位置，本地计算机的证书存储中和活动目录中Exchange 服务器对象的msExchServerInternalTLSCert的二进制值中。保存在活动目录中的证书的私钥不能被访问，私钥只能通过本地服务器来访问。如果Exchange 无法从这两个位置访问该证书的话，那么中心传输服务器之间的邮件流以及中心传输服务器和边缘传输服务器之间的邮件流都会出现问题。 　　一、直接信任证书的用途： 　　Exchange 在下面几种情况下使用直接信任证书： 　　· 为组织内部的中心传输服务器之间的SMTP流量建立安全通道，它使用微软专用的名叫X-AnonymousTLS SMTP 扩展。 　　· 为组织内部的中心传输服务器和边缘传输服务器之间的SMTP流量建立安全通道，也使用X-AnonymousTLS SMTP 扩展。 　　· 中心传输服务器和边缘传输服务器之间的通信时使用的身份验证机制，通常称为直接信任。 　　· 在边缘订阅中建立从中心传输服务器到边缘传输服务器之间的安全的LDAP连接， 　　· 加密和解密边缘同步的credentials，这些证书保存在活动目录中。 　　二、如何查看直接信任证书： 　　下面是中心传输服务器上的缺省证书的样本，碰巧该证书是直接信任证书。 　　CertificateDomains : {ex2k7-01, } 　　CertificateRequest : 　　IsSelfSigned : True 　　KeyIdentifier : ACC553F41452A55AA7B16F59C4FA786747BA0E3D 　　RootCAType : None 　　Services : IMAP, POP, SMTP 　　Status : Valid 　　PrivateKeyExportable : True 　　FriendlyName : Microsoft Exchange 　　NotAfter : 2008-12-27 19:27:20 　　NotBefore : 2007-12-27 19:27:20 　　HasPrivateKey : True 　　SerialNumber : FA952809058E239A4ECAE88E9991A652 　　SubjectName : System.Security.Cryptography.X509Certificates.X500Distin 　　guishedName 　　Thumbprint : 4D45BE9340228B148C31AE187F8B6B6696524E0A 　　Version : 3 　　Issuer : CN=ex2k7-01 　　Subject : CN=ex2k7-01 　　该证书是直接信任证书，不幸的是，在Exchange 2007中，我们无法查看它。在上述的例子中，该证书是自签名的，可以从IsSelfSigned属性中看出。但是任何有效的证书，只要它的CertificateDomains包含该服务器的FQDN名称都有可能是直接信任证书。 如果安装了多张证书，有一些指南可以更好地帮助我们来判断哪张证书是缺省的直接信任证书，我们可以通过下面的命令来实现： 　　Get-ExchangeCertificate –DomainName | FL Thumbprint, Status, IsSelfSigned, NotBefore 　　基本上，观察所有的包含本地计算机的FQDN名称、NotBefore(开始生效时间)时间、是否为自签名的证书，如果所有的证书中没有自签名的，那么最新的且有效的最有可能是缺省的直接信任证书，如果所有的证书都是自签名的，那么最新的且有效的最有可能是缺省的直接信任证书。 　　注意：您不能使用Remove-ExchangeCertificate命令来删除直接信任证书，当您试图删除的时候，会出现如图1所示的错误。 　　 图1 　　但是我们拥有一种更准确的方法可以来查看哪张证书是缺省的直接信任证书，我们可以通过将下面的脚本(该脚本由微软的Brad Hughes编写的)保存为.ps1文件，，然后加载到管理shell中，作为一个函数来使用。 　　$tmp = [System.Reflection.Assembly]::LoadWithPartialName(System.DirectoryServices); 　　$tmp = [System.Reflec