Exchange 2007客户端访问和SSL系列

    什么时候使用自签名证书自签名证书能够被用来与几个协议加密通讯并在多个场景中，加入域的Outlook客户端使用自签名证书来加密电子邮件通讯和加密客户端和服务器之间的通讯通道。象前面提到的一样，您能够让Outlook Web Access 用户使用自签名的证书来加密通讯通道。您也能够使用自签名证书来加密不同活动目录站点中的客户端访问服务器之间的通讯。这种情况，也称为CAS-CAS 代理，需要修改一个注册表才能正常工作。

　　什么时候不应该使用自签名证书 尽管自签名证书支持让加入域的Microsoft Office Outlook 2007 客户端使用自动发现服务和Outlook Web Access 使用，我们不建议为其他任何目的长期使用自签名证书，除了加密组织内部的Exchange 2007 服务器之间的通讯。为了支持许多，如果不是全部的客户端访问服务器特性，象Exchange ActiveSync、Outlook Web Access、Outlook Anywhere，我们建议您从Windows PKI或者信任的第三方商业机构获得一张证书，并保证该证书被导入到每个计算机或者设备上的信任根存储中。

　　重要：自签名证书不支持给Outlook Anywhere 或者Exchange ActiveSync使用

　　Windows 公共密钥基础机构(PKI)证书

　　第二种类型的证书是Windows PKI 生成的证书，PKI是一个数字证书、证书机构、核实和验证通过公共密钥密码术参与电子交易每个团体的有效性的注册机构。当您在使用活动目录的组织中部署 CA，您为证书生命周期管理、更新、信任管理和撤回提供了一个基础机构。Windows PKI 让组织发布他们自己的证书，在内部网络中，客户端能够从Windows PKI请求和收到证书。Windows PKI 能够更新或者撤回证书。

　　证书服务需要部署Windows PKI，可以通过控制面板中的添加\删除程序来部署。您能够将证书服务安装在域中的任何服务器上。

　　如果您从加入的Windows CA获得证书，您能够使用该CA来请求或者给证书签名来颁发给网络中您自己的服务器或者计算机。这让您使用PKI来模拟一个第三方证书供应商，但是不昂贵。尽管这些PKI证书不能象其他类型的证书那样公开部署，当一个PKI CA通过使用私钥签名请求者的证书，该请求者被验证。该CA的公钥是证书的一部分。在信任根证书存储中拥有该证书的服务器，能够使用公钥来解密请求者的证书并认证请求者。

　　部署PKI生成的证书的这些步骤模拟那些要求部署自签名证书。您仍必须安装信任根证书的拷贝，从PKI到您想用来建立SSL连接到Microsoft Exchange的计算机或者移动设备的信任根证书存储。

　　信任的第三方证书

　　第三方或者商业证书是由第三方或者商业CA生成的证书，然后被购买用于您的网络上的服务器。自签名证书和基于PKI的证书的一个问题是，因为这种证书不被客户端计算机或者移动设备自动信任，您必须保证您将该证书导入到客户端计算机和移动设备上的信任根证书存储中。第三方或者商业证书不会有该问题，因为证书已经在信任根证书存储中，大多数商业CA证书已经被信任。因为颁发者被信息，证书也被信任。使用第三方证书能大大地简化部署。

　　对于大型的组织或者必须公开部署证书的组织，最好的办法是使用第三方或者商业证书，即使有和证书相关的成本。对于中小型组织，商业证书也许不是最好的方法，您也许想使用可用的其他证书选项中的一种。