Exchange 2007客户端访问和SSL系列

    序言

　　安全套接字层是用来加密客户端和服务器之间通讯的一种方法。Microsoft Exchange Server 2007 能够为所有的客户端访问协议部署SSL。这些协议包括Microsoft Exchange ActiveSync、Microsoft Office Outlook Web Access、Outlook Anywhere、POP3、 IMAP4、可用性服务、自动发现服务和Exchange Web 服务。在缺省情况下，当您在Exchange 2007中安装客户端访问服务器角色，Exchange ActiveSync、Outlook Web Access、可用性服务和 Autodiscover服务都被配置为使用SSL。

　　该系列文章将解释为什么我们建议您使用SSL来您的客户端通讯的安全，并为如何给您的客户端访问协议配置SSL提供指导。此外，也为如何配置客户端应用程序以使用SSL提供指导。

　　什么是SSL

　　SSL在客户端和服务器之间创建一个安全的连接。对于一台安装了客户端访问服务器角色的Exchange 2007 计算机，SSL被用来保护服务器和客户端之间的安全可靠的通讯。客户端包括移动设备、组织内部网络的计算机、组织外部网络的计算机。这些客户端使用和没有使用虚拟专用网(VPN)连接。

　　在缺省情况下，当您安装好Exchange 2007 ，当您使用Outlook Web Access、Exchange ActiveSync和 Outlook Anywhere的时候，客户端的通讯被SSL加密。在缺省情况下，邮局协议3 (POP3)和Internet 邮件访问协议版本4rev1(IMAP4)没有被配置通过SSL来通讯。

　　SSL要求您使用数字证书，下面将对几种不同类型的数字证书进行概述，除此之外，还提供如何配置使用这些类型证书的每个客户端访问协议的信息。

　　数字证书概述

　　数字证书是电子文件，象在线的密码一样工作，用来验证用户或者计算机的身份。它们被用来为客户端通讯创建SSL加密的通道。证书是一种被证书授权机构(CA)颁发的数字声明，该机构担保证书持有人的身份，并让这些团体使用加密以一种安全的方式进行通讯。

　　数字证书执行下面这些：

　　· 它们认证那些持有者—人、网站、甚至象路由器这样的网络资源―真正是他们所声称的人或者物。

　　· 它们保护被在线交换的数据不被窃取或者篡改

　　数字证书能够被信任的第三方CA或者使用证书服务的Microsoft Windows公共密钥机构 (PKI)颁发，或者他们是自签名的。每种证书都有好处和坏处，每种数字证书都是防篡改和不能被伪造。

　　证书能够颁发给几种用途，这些用途包括网络用户认证、网络服务器认证、Secure/MIME (S/MIME)、Internet Protocol security (IPsec)、传输层安全 (TLS)和代码签名。

　　一张证书包含一个公钥，并将该公钥附于持有对应私钥的身份的人、计算机或者服务。在传输之前，公钥和私钥被客户端和服务器用来加密数据。对于基于Windows的用户、计算机和服务，当在信任根证书存储中有一份根证书的拷贝同时证书包含一个有效的证书路径时，信任某个CA被建立。为了让证书有效，证书一定不能被吊销并且有效期也一定不能过期。