确保 Exchange 通信的安全二

为您的 OWA 前端服务器申请证书

注意：下面的步骤假设您的环境中已经安装了一个 CA。

1.启动您的 OWA 前端服务器上的“Internet 服务管理器”。
2.右键单击“默认网站”，然后单击“属性”。
3.单击“目录安全”选项卡，然后单击“服务器证书”。
4.单击“下一步”。单击“新建证书”，然后单击“下一步”。
5.单击“立即向联机证书颁发机构发送请求”选项按钮，然后单击“下一步”。
6.在“名称”字段中，键入一个名称，然后单击“下一步”。
7.在“组织”字段中，键入您组织的名称。
8.在“组织单位”字段中，键入您的组织单位名称，然后单击“下一步”。
9.在“公用名”字段中，键入您的 OWA 前端服务器的 FQDN，然后单击“下一步”。
10.键入省、市信息，然后单击“下一步”。
11.在“证书颁发机构”下拉列表框中，验证是否选中了您的证书颁发机构，然后单击“下一步”。
12.单击“下一步”提交该请求，然后单击“完成”完成该向导。
13.在“目录安全”选项卡上，“安全通信”组框中，单击“编辑”。
14.选择“需要安全通道 (SSL)”，选择“需要 128 位加密”，然后单击“确定”。
15.在“目录安全”选项卡上，“匿名访问和授权控制”组框中，单击“编辑”。
16.选择“基本身份验证(明文发送密码)”，然后单击“是”确认警告。
17.取消选中所有其他选项，然后单击“确定”。
18.单击“确定”。
19.单击“确定”关闭“继承覆盖”对话框，然后关闭“Internet 服务管理器”。

注意：公用名是 OWA 服务器的 FQDN，因为此名称与 ISA 服务器上的“OWA 发布规则属性”相匹配。在发布过程中，ISA 服务器会检查 OWA Web 证书的有效性，以及证书信任链验证和证书过期日期。

OWA 前端服务器和后端 Exchange 服务器之间的加密

您不能使用 SSL 对 OWA 前端服务器和后端服务器之间的数据进行加密。但是，如果前端服务器和后端服务器均运行 Windows 2000，可以使用 IPSec 进行这种加密。IPSec 的优点是比 SSL 运行速度快很多。

注意：为了提高 IPSec 的性能，减少它的开销，应当考虑使用专门的网络适配器来分担 IPSec 处理。

IPSec 使您能够控制该网络适配器接受哪些协议，阻止或允许一些端口以及对其他端口进行加密。对于前端/后端服务器通信，您需要确保端口 80 是加密的。IPSec 是通过在 Windows 2000 组策略中定义的 IPSec 策略来控制的。