共用方式為


Exchange Server中的數位證書和加密

加密和數位憑證是任何組織的重要考量。 根據預設,Exchange Server 設定為使用傳輸層安全性 (TLS) 來加密內部 Exchange 伺服器之間的通訊,以及本地伺服器上的 Exchange 服務之間的通訊。 不過,Exchange 系統管理員需要考量與內部和外部用戶端 (電腦和行動裝置) 以及外部通訊伺服器通訊的加密需求。

注意事項

Exchange Server 2019 包含可改善客戶端和伺服器連線安全性的重要變更。 預設的加密設定只會啟用 TLS 1.2,並停用支援舊版的演算法(例如 DES、3DES、RC2、RC4 和 MD5)。 它也會設定橢圓曲線金鑰交換演算法,優先於非橢圓曲線演算法。 在 Exchange Server 2016 及更新版本中,所有加密設定都是繼承自作業系統中所指定的設定。 如需詳細資訊,請參閱 Exchange Server TLS 設定最佳做法

本主題說明不同類型的可用憑證、Exchange 中憑證的預設組態,以及您需要搭配 Exchange 使用之額外憑證的建議。

如需 Exchange Server 中憑證所需的程式,請參閱 Exchange Server 中的憑證程式

數位憑證概觀

數位憑證是電子檔案,其運作的方式類似線上密碼,可驗證使用者或電腦的身分。 它們會用來建立用戶端通訊使用的加密通道。 憑證是由憑證授權單位 (CA) 發出的數位聲明,可證實憑證持有者的身分,並可讓各方透過加密功能,以安全的方式來通訊。

數位憑證可提供下列服務:

  • 加密:它們可協助保護交換的數據免於遭竊或竄改。

  • 驗證:他們會確認其持有者 (人員、網站,甚至路由器等網路裝置,) 是真正或他們所宣告的身分。 驗證通常是單向的,來源會驗證目標的身分,但相互 TLS 驗證也可行。

可針對數種用法來發出憑證。 例如:Web 使用者驗證、Web 伺服器驗證、安全多用途網際網路郵件延伸 (S/MIME)、網際網路通訊協定安全性 (IPsec) 及程式碼簽章。

憑證會包含一個公開金鑰,並會將該公開金鑰附加至具有相對應之私密金鑰的個人、電腦或服務的識別碼。 用戶端及伺服器都會使用公開及私密金鑰,先將資料加密,再進行傳輸。 對於 Windows 使用者、電腦及服務而言,當信任的根憑證存放區中已定義根憑證,且該憑證包含有效的憑證路徑時,就會在 CA 中建立信任。 如果憑證尚未遭到撤銷 (並未列在 CA 的憑證撤銷清單或 CRL 中),或尚未到期,即可視為有效的憑證。

下表說明三種主要數位憑證類型:

類型 描述 優點 缺點
自我簽署憑證 此種憑證會由建立它的應用程式簽署。 成本 (免費)。 用戶端電腦和行動裝置不會自動信任此種憑證。 必須以手動方式將此種憑證新增至所有用戶端電腦和裝置上受信任的根憑證存放區,但並非所有的行動裝置都允許變更信任的根憑證存放區。

並非所有服務都可與自行簽署憑證搭配使用。

難以建立憑證生命週期管理的基礎結構。 例如,無法撤銷自我簽署的憑證。

內部 CA 所發出的憑證 此種憑證是由您組織中的公開金鑰基礎結構 (PKI) 所發出。 例如 Active Directory 憑證服務 (AD CS)。 如需詳細資訊,請參閱 Active Directory 憑證服務概觀 允許組織發出自己的憑證。

成本低於商業 CA 所發出的憑證。

增加部署及維護 PKI 的複雜度。

用戶端電腦和行動裝置不會自動信任此種憑證。 必須以手動方式將此種憑證新增至所有用戶端電腦和裝置上受信任的根憑證存放區,但並非所有的行動裝置都允許變更信任的根憑證存放區。

商業 CA 所發出的憑證 此種憑證是向信任的商業 CA 購買而來。 簡化憑證部署,因為所有用戶端、裝置及伺服器會自動信任此種憑證。 成本。 您必須事先規劃將所需的憑證數目降至最低。

為了證明憑證持有者是宣稱的持有者,憑證必須向其他用戶端、裝置或伺服器正確地識別憑證擁有者。 下表說明三種執行此作業的基本方法。

方法 描述 優點 缺點
憑證主體相符 憑證的 Subject 欄位包含主機的一般名稱 (CN)。 例如,發行給 www.contoso.com 的憑證可用於網站 https://www.contoso.com 與所有用戶端、裝置及服務相容。

分隔。 撤銷主機的憑證並不會影響其他主機。

所需的憑證數目。 您只能將憑證使用於指定的主機。 例如,即使服務安裝在同一部伺服器上,您也無法將 www.contoso.com 憑證用於 ftp.contoso.com。

複雜性。 在 Web 伺服器上,每個憑證需要自己的 IP 位址繫結。

憑證主體別名 (SAN) 相符 除了 Subject 欄位,憑證的 Subject Alternative Name 欄位包含多個主機名稱的清單。 例如:
  • www.contoso.com
  • ftp.contoso.com
  • ftp.eu.fabirkam.net
方便。 您可以將相同的憑證使用於多個不同網域中的多部主機。

大部分的用戶端、裝置及服務都支援 SAN 憑證。

稽核和安全性。 您完全知道哪些主機能夠使用 SAN 憑證。

需要更進一步規劃。 在建立憑證時,您需要提供主機清單。

缺少分隔。 您無法選擇性地撤銷某些指定主機的憑證,而不影響憑證中的所有主機。

萬用字元憑證相符 憑證的 [主體] 字段包含通配符 (*) 加上單一網域或子域的通用名稱。 例如,*.contoso.com 或 *.eu.contoso.com。 *.contoso.com 通配符憑證可用於:
  • www.contoso.com
  • ftp.contoso.com
  • mail.contoso.com
彈性。 當您要求憑證時,不需要提供主機清單,而且您可以在未來可能需要的任何數目的主機上使用憑證。 您無法使用萬用字元憑證搭配其他最上層網域 (TLD)。 例如,您無法針對 *.contoso.net 主機使用 *.contoso.com 通配符憑證。

您只能將萬用字元憑證使用於萬用字元層級的主機名稱。 例如,您無法將 *.contoso.com 憑證用於 www.eu.contoso.com。 或者,您無法將 *.eu.contoso.com 憑證用於 www.uk.eu.contoso.com

較舊的用戶端、裝置、應用程式或服務可能不支援萬用字元憑證。

萬用字元不適用於延伸驗證 (EV) 憑證。

必須小心稽核與控制。 如果萬用字元憑證遭到入侵時,則會影響指定網域中的每個主機。

Exchange 中的憑證

當您在伺服器上安裝 Exchange 2016 或 Exchange 2019 時,Exchange 會建立並安裝兩個自我簽署憑證。 第三個自我簽署憑證是由 Microsoft Windows 在 Internet Information Services (IIS) 中建立及安裝 Web 管理服務。 這三種憑證都會顯示在 Exchange 系統管理中心 (EAC) 和 Exchange 管理命令介面 中,並如下表所述:

名稱 Comments
Microsoft Exchange 這個 Exchange 自我簽署的憑證具有下列功能:
  • 組織中的所有其他 Exchange 伺服器會自動信任此種憑證。 這包括訂閱 Exchange 組織的任何 Edge Transport Server。
  • 此種憑證會針對所有Exchange 服務 (整合通訊) 自動啟用,而且用來加密下列項目之間的內部通訊:Exchange 伺服器、同部電腦上的 Exchange,以及透過 Proxy 從用戶端存取服務到信箱伺服器上後端服務的用戶端連線。 (注意:Exchange 2019.) 上無法使用 UM
  • 此種憑證會針對來自外部 SMTP 通訊伺服器的輸入連線,以及對外部 SMTP 通訊伺服器的輸出連線自動啟用。 此預設組態可讓 Exchange 在所有輸入和輸出 SMTP 連線上供應商 機 TLS 。 Exchange 會嘗試加密透過外部通訊伺服器的 SMTP 工作階段,但如果外部伺服器不支援 TLS 加密,工作階段就不會加密。
  • 此種憑證不提供與內部或外部用戶端的加密通訊。 用戶端和伺服器不會信任 Exchange 自我簽署的憑證,因為在其受信任的根憑證存放區中未定義此憑證。
Microsoft Exchange Server 驗證憑證 此種 Exchange 自我簽署的憑證用於透過 OAuth 進行伺服器對伺服器驗證和整合。 如需詳細資訊,請參閱規劃 Exchange Server 與 SharePoint 和 商務用 Skype 整合
WMSVC 此種 Windows 自我簽署的憑證由 IIS 中的 Web Management 服務使用,以啟用網頁伺服器及其相關網站和應用程式的遠端管理。

如果您移除此憑證且未選取正確的憑證,Web Management 服務將無法啟動。 讓服務處於此狀態,可能會使您無法安裝 Exchange 更新,或從伺服器解除安裝 Exchange。 如需如何更正此問題的指示,請 參閱事件標識碼 1007 - IIS Web 管理服務驗證

預設自行簽署憑證的屬性一節會說明這些自我簽署憑證的屬性。

提到 Exchange 中的憑證時,您需要考量以下重要問題:

  • 您不需要取代 Microsoft Exchange 自我簽署的憑證,即可加密您組織中 Exchange 伺服器與服務之間的網路流量。

  • 您需要額外憑證來加密內部和外部用戶端對 Exchange 伺服器的連線。

  • 您需要額外憑證來強制加密 Exchange 伺服器與外部通訊伺服器之間的 SMTP 連線。

針對 Exchange Server 規劃和部署的下列元素是憑證需求的重要驅動程式:

在 Exchange Server 中支援橢圓曲線密碼編譯憑證

ECC 憑證或橢圓曲線密碼編譯憑證是一種數字證書,使用橢圓曲線演算法進行加密,相較於傳統 RSA 憑證,提供更強大的安全性,密鑰長度較短。

Exchange Server 2024 年 4 月 Hotfix Update (胡) 開始,Exchange Server 2016 和 Exchange Server 2019 支援某些服務使用橢圓曲線密碼編譯 (ECC) 憑證。 我們對 Exchange Server 2024 年 11 月安全性更新 (SU) 進行了一些重要調整,以解決已知問題,並針對其他案例啟用 ECC 憑證支援,例如 POP3 和 IMAP) (。 請務必先安裝最新的 Exchange Server 更新,再啟用 ECC 憑證支援。

警告

下列案例目前不支援使用 ECC 憑證。 我們正努力進行更新,以在未來支持這些案例:

請查看下一節中的數據表,以瞭解哪些服務可以搭配 ECC 憑證使用。

ECC 憑證支援預設為停用,並可藉由建立登錄值來啟用。 命令必須在組織中的每個 Exchange Server 上執行。 變更最多可能需要 15 分鐘才會生效。

New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics" -Name "EnableEccCertificateSupport" -Value 1 -Type String

Exchange Server 2024 年 4 月 Hotfix Update (胡) 中引進的覆寫,不應再使用 ,因為它並未完全啟用 ECC 憑證支援。 建議您移除覆寫。 在執行命令之後 New-SettingOverride , (EMS) 開啟新的 Exchange 管理命令介面:

Get-SettingOverride | Where-Object {($_.SectionName -eq "ECCCertificateSupport") -and ($_.Parameters -eq "Enabled=true")} | Remove-SettingOverride
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

Exchange 服務的憑證需求

下表說明可以指派憑證的 Exchange 服務:

Service 描述 支援 ECC 憑證
IIS (HTTP) 根據預設,下列服務是在信箱伺服器上用戶端存取 (前端) 服務中的預設網站之下提供,並由用戶端用來連線到 Exchange:
  • 自動探索
  • Exchange ActiveSync
  • Exchange 系統管理中心
  • Exchange Web 服務
  • 離線通訊錄 (OAB) 發佈
  • Outlook 無所不在 (RPC over HTTP)
  • Outlook MAPI over HTTP
  • 網頁型 Outlook
  • 遠端 PowerShell*

因為您只可以將單一憑證與一個網站產生關聯,所以用戶端用來連線到這些服務的所有 DNS 名稱都必須包含在憑證中。 您可以使用 SAN 憑證或萬用字元憑證來完成此作業。

POP 或 IMAP POP 或 IMAP 所使用的憑證,與 IIS 所使用的憑證不同。 不過,為了簡化管理,建議您也將用於 POP 或 IMAP 的主機名稱包含在 IIS 憑證中,並讓這些服務全部使用相同的憑證。
SMTP 在 Exchange 伺服器上的前端傳輸服務中設定的一或多個接收連接器會接受來自用戶端或通訊伺服器的 SMTP 連線。 如需詳細資訊,請參閱接收連接器

如果 SMTP 連線需要 TLS 加密,您可以對每個接收連接器使用不同的憑證。 此憑證必須包含 SMTP 用戶端伺服器用來連線到接收連接器的 DNS 名稱。 為了簡化憑證管理,請考慮將必須支援 TLS 流量的所有 DNS 名稱包含在單一憑證中。

若要要求 相互 TLS 驗證,其中來源和目的地伺服器之間的 SMTP 連線都經過加密和驗證,請參閱 網域安全性

EdgeSync 如需詳細資訊,請參閱 Exchange Server 中的邊緣訂閱
整合通訊 (UM) 如需詳細資訊,請參閱Deploying Certificates for UM

注意:UM 在 Exchange 2019 中無法使用。

使用 Microsoft 365 或 Office 365 的混合式部署 如需詳細資訊,請參閱Certificate Requirements for Hybrid Deployments
Secure/Multipurpose Internet Mail Extensions (S/MIME) 如需詳細資訊,請參閱 適用於郵件簽署和加密的 S/MIME

* 從 Exchange 系統管理中心與 Exchange 管理命令介面 進行遠端 PowerShell 存取時,會用到 Kerberos 驗證與 Kerberos 加密技術。 因此,只要您直接連線到 Exchange 伺服器 (而非負載平衡的命名空間),您就不需要使用遠端 PowerShell 設定您的憑證。 若要使用遠端 PowerShell 從不是網域成員的電腦連線到 Exchange 伺服器,或從因特網連線,您必須設定憑證以搭配遠端 PowerShell 使用。

Exchange 憑證的最佳作法

雖然組織的數位憑證組態會因為特殊需求而有所不同,還是會提供最佳作法相關資訊,協助您選擇適合的數位憑證組態。

  • 盡可能使用較少的憑證:很可能就是使用 SAN 憑證或通配符憑證。 就與 Exchange 的互通性而論,兩者的功能相同。 決定要使用 SAN 憑證或萬用字元憑證,與 數位憑證概觀中所描述之各類憑證的主要功能或限制 (實際或認知) 比較有關。

    例如,如果您的一般名稱與 contoso.com 相同層級,則您使用 SAN 憑證或萬用字元憑證都沒關係。 但是,如果憑證需要使用於 autodiscover.contoso.com、autodiscover.fabrikam.com 和 autodiscover.northamerica.contoso.com,您必須使用 SAN憑證。

  • 使用來自商業 CA 的憑證進行用戶端和外部伺服器連線:雖然您可以將大部分的用戶端設定為信任任何憑證或憑證簽發者,但是使用商業 CA 中的憑證來聯機到 Exchange 伺服器會更容易。 不需要設定用戶端,即可信任商業 CA 所發出的憑證。 許多商業 CA 都會提供專門為 Exchange 設定的憑證。 您可以使用 EAC 或 Exchange 管理命令介面,產生適用於大多數商業 CA 的憑證要求。

  • 選擇正確的商業 CA:比較 CA 之間的憑證價格和功能。 例如:

    • 確認此 CA 可被將與您的 Exchange 伺服器連線之用戶端 (作業系統、瀏覽器與行動裝置) 所信任。

    • 確認此 CA 支援您需要使用的憑證類型。 例如,並非所有 CA 都支援 SAN 憑證,CA 可能會限制您可以在 SAN 憑證中使用的一般名稱數量,或者 CA 可能會根據 CA 憑證中的一般名稱數量來額外收費。

    • 查看 CA 是否提供寬限期,而您可以在寬限期內將額外的一般名稱新增至已發出的 SAN 憑證,但不需要付費。

    • 確認憑證的授權允許您在所需數量的伺服器上使用憑證。 某些 CA 只允許您將憑證使用於一部伺服器。

  • 使用 Exchange 憑證精靈:當您建立憑證時,常見的錯誤是忘記您想要使用之服務所需的一或多個通用名稱。 Exchange 系統管理中心中的憑證精靈會協助您將正確的一般名稱清單包含在憑證要求中。 此精靈可讓您指定將使用憑證的服務,並將您需要的一般名稱包含在這些服務的憑證中。 當您部署 Exchange 2016 或 Exchange 2019 伺服器的初始集合,並決定要針對部署的不同服務使用哪一個主機名時,請執行憑證精靈。

  • 盡可能使用較少的主機名:將 SAN 憑證中的主機名數目降至最低可降低憑證管理所涉及的複雜度。 如果憑證的預定用途不需要在 SAN 憑證中包含個別 Exchange 伺服器的主機名稱,請不要覺得有義務這麼做。 您通常只需要包含對內部用戶端、外部用戶端或使用憑證連線到 Exchange 之外部伺服器呈現的 DNS 名稱。

    針對名為 Contoso 的簡單 Exchange Server 組織,這是必要最低主機名的假設範例:

    • mail.contoso.com:此主機名涵蓋 Exchange 的大部分連線,包括 Outlook、Outlook 網頁版、OAB 散發套件、Exchange Web 服務、Exchange 系統管理中心和 Exchange ActiveSync。

    • autodiscover.contoso.com:支持自動探索的用戶端需要此特定主機名,包括 Outlook、Exchange ActiveSync 和 Exchange Web Services 用戶端。 如需詳細資訊,請參閱 自動探索服務

預設自行簽署憑證的屬性

下表說明 Exchange 伺服器的 Exchange 系統管理中心及/或 Exchange 管理命令介面 中可見之預設自我簽署憑證的一些有趣屬性。

Property Microsoft Exchange Microsoft Exchange Server 驗證憑證 WMSVC
主旨 CN=<ServerName>例如, () CN=Mailbox01 CN=Microsoft Exchange Server Auth Certificate CN=WMSvc-<ServerName>例如, () CN=WMSvc-Mailbox01
CertificateDomains (主體別名) <ServerName> (例如 Mailbox01)

<例如,ServerFQDN> (,Mailbox01.contoso.com)

WMSvc-<ServerName>例如, () WMSvc-Mailbox01
具有私鑰 (HasPrivateKey) (True) (True) (True)
PrivateKeyExportable* True True
EnhancedKeyUsageList* 伺服器驗證 (1.3.6.1.5.5.7.3.1) 伺服器驗證 (1.3.6.1.5.5.7.3.1) 伺服器驗證 (1.3.6.1.5.5.7.3.1)
IISServices* IIS://<ServerName>/W3SVC/1, IIS://<ServerName>/W3SVC/2例如, () IIS://Mailbox01/W3SVC/1, IIS://Mailbox01/W3SVC/2
IsSelfSigned True True True
發行者 CN=<ServerName>例如, () CN=Mailbox01 CN=Microsoft Exchange Server Auth Certificate CN=WMSvc-<ServerName>例如, () CN=WMSvc-Mailbox01
NotBefore 安裝 Exchange 的日期/時間。 安裝 Exchange 的日期/時間。 安裝 IIS Web Manager 服務的日期/時間。
到期日 (NotAfter) 5 年後 NotBefore 5 年後 NotBefore 10 年後 NotBefore
PublicKeySize (公鑰大小) 2048 2048 2048
RootCAType 登錄 登錄
服務 IMAP、POP、IIS、SMTP SMTP

* 這些屬性不會顯示在 Exchange 管理命令介面 的標準檢視中。 若要查看它們,您必須使用 Format-TableFormat-List Cmdlet 來指定屬性名稱 (確切名稱或萬用字元)。 例如:

  • Get-ExchangeCertificate -Thumbprint <Thumbprint> | Format-List *

  • Get-ExchangeCertificate -Thumbprint <Thumbprint> | Format-Table -Auto FriendlyName,*PrivateKey*

如需詳細資訊,請參閱 Get-ExchangeCertificate

下表說明 Windows 憑證管理員中可見之預設自我簽署憑證的進一步詳細資料。

Property Microsoft Exchange Microsoft Exchange Server 驗證憑證 WMSVC
簽章演算法 sha256RSA1 sha256RSA1 sha256RSA1
簽章雜湊演算法 sha2561 sha2561 sha2561
金鑰使用方式 數位簽章、金鑰加密 (a0) 數位簽章、金鑰加密 (a0) 數位簽章、金鑰加密 (a0),資料編密 (b0 00 00 00)
基本限制 Subject Type=End Entity

Path Length Constraint=None

Subject Type=End Entity

Path Length Constraint=None

不適用
指紋演算法 sha2561 sha2561 sha2561

1 適用於 Exchange 2016 累積更新 22 或更新版本以及 Exchange 2019 累積更新 11 或更新版本的全新安裝。 如需詳細資訊,請參閱 Exchange Server 2019 和 2016 憑證在安裝期間使用 SHA-1 哈希建立

您通常不會使用 Windows 憑證管理員來管理 Exchange 憑證 (使用 Exchange 系統管理中心 或 Exchange 管理命令介面)。 請注意,WMSVC 憑證不是 Exchange 憑證。