规划域安全性

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2007-02-27

域安全性指 Microsoft Exchange Server 2007 和 Microsoft Office Outlook 2007 中的功能集,它提供一种成本相对较低的备选安全解决方案,可代替 S/MIME 或其他邮件级安全解决方案。域安全性功能集的目的是为管理员提供一种管理与业务合作伙伴的通过 Internet 的受保护邮件路径的方法。配置了这些受保护的邮件路径后,由通过身份验证的发件人发送并成功地经由受保护的路径传递的邮件在 Outlook 和 Outlook Web Access 界面中对用户显示为“域安全”。

域安全性使用具有相互身份验证的传输层安全性 (TLS) 提供基于会话的身份验证和加密。具有相互身份验证的 TLS 与通常实现的 TLS 不同。通常,实现 TLS 时,客户端通过验证服务器的证书来验证连接是否安全连接到了预期的服务器。这是 TLS 协商的一部分。在此方案中,客户端在传输数据前对服务器进行身份验证。但是,服务器不对与客户端的会话进行身份验证。

使用相互 TLS 身份验证,每个服务器通过验证其他服务器提供的证书来验证与该其他服务器的连接。在此方案中,邮件通过在 Exchange 2007 环境中已验证的连接从外部域中接收,Outlook 2007 将显示“域安全”图标。

important要点:
本主题不提供关于加密和证书技术及概念的详细说明。部署使用加密和数字证书的任何安全解决方案之前,建议您首先了解信任、身份验证、加密、公钥和私钥交换的基本概念,因为它们与加密相关。有关详细信息,请参阅本主题结尾部分列出的参考信息。

TLS 证书的验证

若要了解任何相互 TLS 传输的整体安全性和因此而产生的可信度,必须了解如何对基本 TLS 证书进行验证。

Exchange 2007 包括一组用于创建、请求和管理 TLS 证书的 cmdlet。默认情况下,这些证书为自行签署式证书。自行签署式证书是由它自己的创建者签署的证书。在 Exchange 2007 中,自行签署式证书由运行 Microsoft Exchange 的计算机通过使用基本 Microsoft Windows 证书 API (CAPI) 创建。因为这些证书是自行签署的,所以产生的证书的可信度低于由公钥基础结构 (PKI) 或第三方证书颁发机构 (CA) 生成的证书。因此,建议将自行签署式证书仅用于内部邮件。另外,如果您与之交换域安全电子邮件的接收组织手动将您的自行签署式证书添加到每个入站边缘传输服务器的受信任根证书存储中,则自行签署式证书将显式受信任。

对于遍历 Internet 的连接,最好的做法是由 PKI 或第三方 CA 生成 TLS 证书。由受信任的 PKI 或第三方 CA 生成 TLS 密钥可减少对域安全性的整体管理。有关与受信任证书和域安全性相关的选项的详细信息,请参阅如何启用边缘传输服务器上的 PKI 以确保域安全

可以使用 Exchange 2007 证书 cmdlet 为自己的 PKI 或第三方 CA 生成证书请求。有关详细信息,请参阅创建 TLS 证书或证书请求

有关如何配置域安全性的详细信息,请参阅下列主题:

使用 Exchange 托管服务

邮件级别的安全性由 Microsoft Exchange 托管服务增强,也可以作为其中的一项服务使用。Exchange 托管服务是包含四个不同托管服务的服务组:

  • 托管筛选,帮助组织防御以电子邮件为载体的恶意软件

  • 托管存档,有助于组织满足要遵守的保留要求

  • 托管加密,帮助组织对数据进行加密以实现机密性

  • 托管连续性,帮助组织在发生紧急情况期间和之后仍然能够访问电子邮件

这些服务与内部管理的任何内部 Exchange 服务器或由服务提供商提供的托管 Exchange 电子邮件服务进行集成。有关 Exchange 托管服务的详细信息,请参阅 Microsoft Exchange Hosted Services

详细信息

有关加密和证书技术及概念的详细信息,请参阅下列资源: