Exchange Server 2016 可通过 HTTPS、SMTP、IMAP 和 POP 协议与客户端、应用程序及其它服务器进行通讯,这些通讯间特别是 Exchange Server 2016 与客户端和应用程序之间的通讯都需要用户名和密码进行验证。如果这些通讯内容都采用明文,就意味着邮件交换内容和用户凭据可以被中间人进行拦截的攻击读取。
为了保证安全,Exchange Server 2016 可以使用 SSL 证书对客户端及应用程序通讯协议进行加密,其中就包括:
- 使用 Outlook 客户端连接到 Outlook Anywhere (RPC-over-HTTP或MAPI-over-HTTP)
- 浏览器访问 Outlook on the web (OWA)
- 移动设备使用 ActiveSync 连接邮箱和日历
- 应用程序访问 Exchange Web Services (EWS)
- 邮件客户端安全连接 POP 或 IMAP
- 使用 TLS 加密 Exchange Server 或其它邮件服务之间的 SMTP 通信
当 Exchange Server 2016 安装好之后默认会生成一张自签名 SSL 证书并应用于 IIS (OWA、EWS和ActiveSync)、SMTP、POP 和 IMAP 服务,这张自签名证书属于对 Exchange Server 2016 的默认加密通信策略,但不推荐在生产环境中直接使用。
取而代之的是,建议在部署完 Exchange Server 2016 之后,我们应该好好规划有效的 SSL 证书方案以替代自签名证书。通常我都建议大家购买公网上权威证书机构颁发的证书,而不要使用自己 CA 颁发的证书,这样比较方便而且投资也不高。
强烈不建议大家使用自签名证书或者禁用 Exchange 2016 对各服务的 SSL 加密要求:
- 刻意降低 Exchange 环境的安全性非常不明智
- 花时间和精力配置证书服务和经常排错所花费的代价可能比买 SSL 证书昂贵
Exchange Server 2016 SSL证书要求
Exchange Server 2016 对 SSL 证书有如下三项基本要求:
- 正确的服务器/域名 – SSL 证书必需包含和匹配客户端连接的名称
- 证书在有效期内 – SSL 证书必需在有效其内才能使用,这个想必不用多说,过期的证书通常会被吊销。
- 颁发至受信任的证书颁发机构 – 客户端只会相信受信任的证书颁发机构所颁发的 SSL 证书,这也是不建议大家在生产环境使用自签名证书的原因。互联网上受信任的证书颁发机构很多,比如 Globalsign 和 Digicert 等。
选择一家适用于 Exchange 的证书颁发机构非常容易,一般只需要考虑在国际上是否权威、规划好 SSL 证书的名称空间及考虑好证书的使用周期便可。
Exchange Server 2016 SSL证书名称空间
关于 Exchange Server 2016 的名称空间考量可以参考我们之前的文章,在这里不进行赘述:
除了将 HTTPS 名称空间应用到 SMTP、POP 和 IMAP 服务外,虽然并没有强制要求,但我们也可以考虑为 Autodiscover CNAME 和 根域也应用 SSL 证书。
还是以我们之前的环境作为示例,例如电子邮件的域名是 sysgeek.cn,名称空间可规划为:
- mail.sysgeek.cn (用于所有HTTPS、SMTP、POP和IMAP服务)
- autodiscover.sysgeek.cn (用于Autodiscover CNAME)
- sysgeek.cn (用于根域名Autodiscover查询)
建议只将 SSL 证书应用到规划好的 Exchange(别名)名称空间,而不是用于服务器的真实 FQDN。
如何选择Exchange Server 2016 SSL证书类型
大型的证书颁发机构都向客户提供多种证书类型,但只包含一个名称的证书是不适合于 Exchange 环境使用的。很多 Excange 管理员出于成本考虑可能会选择 *.sysgeek.cn 这样的通配符证书,但通配符证书在很多系统集成方案中都有局限性和兼容性问题,例如其就不适用于安全 POP 和 IMAP 服务。
因此建议大家选择购买多域名证书,在很多大型 CA 机构中被单独称为 SAN/UC 证书。
需要多少证书
在大家规划好 Exchange 2016 名称空间并选择好 CA 机构之后,要考虑的就是需要购买几张证书,特别在有多台 Exchange 2016 服务器的时候尤是如此。
比较推荐的做法是购买的 SSL 证书越少越好,这不仅可以节省资金成本,同时还可以降低管理复杂度。例如:有 2 台 Exchange 2016 服务器进行负载均衡并且都配置了 mail.sysgeek.cn 这个域名的 HTTPS 服务,我们可以为 2 台服务器使用包含此域名的同一张证书。只需在首台服务器上配置好证书之后将其导出,再到第 2 台服务器进行导入即可。
最新评论
UEFI 启动时,会首先加载 EFI 分区中的 EFI 文件,这些文件包含了启动操作系统所需的必要信息和引导程序,这是 UEFI 启动流程的标准做法。Windows 和 Linux 的 EFI 如何查看,请参考这里。
存储位置应该都是在主板芯片上吧
数据存储位置,不应该都是在主板芯片上吗
是啊,登录功能意义不大。