Exchange Server 2010 LAB Part 2. 证书的应用

在exchange2010中，数字证书是必不可少的一部分，而且严重影响着exchange 2010服务的提供，证书CA在exchange 2010 中用于身份验证和加密。证书在Exchange 2010主要用途有：

・传输服务器之间的Smtp通信，使用传输层安全性TLS。

・客户端访问方式的HTTP通信，这里就包括outlook web app、outlook anywhere、exchange Activesync、exchange web服务如ecp控制台等。

・联合身份验证的HTTP通信

   本节实验展示Exchange2010在典型安装下证书需要做的一些步骤，有些功能的实现是不一定需要证书的，例如外网客户端的访问方式中OWA、POP3、IMAP4等没有做证书也可以访问，只是会有安全警告。但是像TMG防火墙发布HTTPS到外网时，使用“Exchange客户端访问发布规则”时，必须使用证书来解密。

1.安装CA。

2.创建exchange证书。

3.导入exchange证书。

4.为证书分配服务。

5.导出Exchange证书并导入ForefrontTMG 2010。

---------------------------------------------------------------------------------

实验拓扑：

如拓扑所示，是一个能够正常运行exchange邮件收发服务的最基本环境，没有采用Exchange高可用部署，也没有使用能够提高Exchange安全性的边缘传输服务器。Forefront TMG 2010处于内网边缘，直接接触外网，最内部网络起保护作用，并且TMG将发布Exchange Server的访问端口。使得Exchange Server可以在公网上通过多种方式来被客户端访问。

---------------------------------------------------------------------------------

1.部署企业CA。

2.创建exchange证书，Exchange使用的是多域名证书。

3.导入exchange证书。首先需要为Exchange服务器去申请一个证书，根据产生的二进制流代码。

申请到Exchange服务器证书之后，需要将证书导入到Exchange服务器中。

4.为证书分配服务，证书在添加完之后，需要手动来执行证书分配，将证书分配给相应的邮件服务器（如果存在多台exchange服务器），将证书分配给邮件服务器的某些角色。

5.导出Exchange证书。如果网络环境中存在TMG服务器，并且是通过TMG来发布“exchange客户端访问发布规则”的情况下，需要执行证书导入，证书是由Exchange服务器上导出的带有私钥的密钥证书，而且将这一密钥导入TMG。这一步并不是必须步骤，如果HTTPS端口是通过硬件防火墙或者其他防火墙发布，就不需要导入证书。或者TMG在发布HTTPS端口是采用“非web服务器协议发布规则”时，也不需要证书的导入。

导出带有私钥的证书，这种后缀为PFX的证书是带有私钥的，必须要添加私钥密码。

拷贝证书至TMG服务器，将私钥证书导入到个人信任中去。

至此，证书在Exchange 2010中的基本应用就到这了。