Exchange 2007客户端访问和SSL系列

    证书的类型

　　有三种主要的数字证书：自签名证书、Windows 公共密钥机构生成的证书和第三方证书。

　　自签名证书

　　当您安装Exchange 2007 客户端访问服务器角色的时候，会创建一张自签名的证书。该自签名证书增强组织内部Exchange 2007服务器之间的安全通讯，另外也为加密客户端通讯提供了一种临时方法直到获得并安装一张备用的证书。该自签名证书有两个主题备用名称：一个是客户端访问服务器的NetBIOS名称，另一个是客户端访问服务器的FQDN。尽管该自签名的证书能够被用来加密客户端访问服务器和其他Exchange 2007 服务器角色之间的通讯，我们不建议将它用在客户端应用程序和设备上。因为自签名证书的限制，我们建议您使用一张信任第三方的商业证书或者一张被 Windows 公共密钥机构签名的证书来替换自签名的证书。

　　注意：除了邮箱服务器角色以外，每个Exchange 2007 服务器角色会安装一张自签名的证书。

　　自签名证书的限制

　　下面我们描述自签名证书的一些限制：

　　· 过期时间：自签名证书在Exchange 2007 安装后的12个月终止，当一个证书终止后，必须使用New-ExchangeCertificate cmdlet 来手动生成一张新的自签名证书。

　　· Outlook Anywhere：自签名证书不能和Outlook Anywhere 一起使用，如果您想使用Outlook Anywhere，我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书。

　　· Exchange ActiveSync：自签名证书不能用来加密Microsoft Exchange ActiveSync 设备和Exchange 服务器之间的通讯，我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书为使用Exchange ActiveSync。

　　· Outlook Web Access： Outlook Web Access用户将收到一个消息，该消息通知他们被使用的用来增强OWA安全的证书不被信任，产生该错误是因为，该证书不是被客户端信任的机构签名，用户可以忽略该消息，并为OWA使用一张自签名的证书，但是，我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书。