Exchange2007中直接信任证书.docx

Exchange2007中直接信任证书.docx【IT专家网独家】在Exchange2007当安装一台屮心传输服务器或者边缘传输服务器的时候,系统会自动创建一张缺省的证书,该证书由Exchange自己生成的,和实际的CA生成的证书相反。该证书是自签名的。这张缺省的证书就变成直接信任证书。该直接信任证书保存在两个位置,本地计算机的证书存储屮和活动目录屮Exchange服务器对象的msExchServerlnternalTLSCert的二进制值中。保存在活动目录中的证书的私钥不能被访问,私钥只能通过本地服务器来访问。如果Exchange无法从这两个位置访问该证书的话,那么中心传输服务器之间的邮件流以及中心传输服务器和边缘传输服务器之间的邮件流都会出现问题。一、 直接信任证书的用途:Exchange在下面几种情况下使用直接信任证书:・为组织内部的中心传输服务器Z间的SMTP流塑建立安全通道,它使用微软专用的名叫X-AnonymousTLSSMTP扩展。・为组织内部的中心传输服务器和边缘传输服务器之间的SMTP流量建立安全通道,也使用X-AnonymousTLSSMTP扩展。•中心传输服务器和边缘传输服务器之间的通信时使用的身份验证机制,通常称为直接信任。・在边缘订阅中建立从中心传输服务器到边缘传输服务器Z间的安全的LDAP连接,・加密和解密边缘同步的credentials,这些证书保存在活动目录屮。二、 如何查看直接信任证书:下面是屮心传输服务器上的缺省证书的样本,碰巧该证书是直接信任证书。CertificateDomains:{ex2k7-01,ex2k7-01.}CertificateRequest:IsSelfSigned:TrueKeyidentifier:ACC553F41452A55AA7B16F59C4FA786747BA0E3DRootCAType:NoneServices:IMAP,POP,SMTPStatus:ValidPrivateKeyExportable:TrueFriendlyName:MicrosoftExchangeNotAfter:200819:27:20NotBefore:2007-12-2719:27:20HasPrivateKey:TrueSerialNumber:FA952809058E239A4ECAE88E9991A652SubjectName::4D45BE9340228B148C31AE187F8B6B6696524E0AVersion:=ex2k7-=ex2k7-01该证书是直接信任证书,不幸的是,在Exchange2007中,我们无法查看它。在上述的例子中,该证书是自签名的,可以从IsSelfSigned属性中看出。但是任何有效的证书,只要它的CertificateDomains包含该服务器的FQDN名称都有可能是直接信任证书。如果安装了多张证书,有一些指南可以更好地帮助我们来判断哪张证书是缺省的直接信任证书,我们可以通过下面的命令来实现:Get-ExchangeCertificate-DomainName|FLThumbprint,Status,IsSelfSigned,NotBefore基本上,观察所有的包含本地计算机的FQDN名称、NotBefore(开始生效时间)时间、是否为自签名的证书,如果所有的证书中没有自签名的,那么最新的且有效的最有可能是缺省的直接信任证书,如果所有的证书都是自签名的,那么最新的且有效的最有可能是缺省的直接信任证书。注意:您不能使用Remove-ExchangeCertificate命令来删除直接信任证书,当您试图删除的时候,会出现如图1所示的错误。但是我们拥有一种更准确的方法对以来查看哪张证书是缺省的直接信任证书,我们可以通过将下面的脚本(该脚木由微软的BradHughes编写的),,然后加载到管理shell'I1,作为一个函数来使用。$tmp=[]::LoadWithPartialName(”);$tmp=[]::LoadWithPmrtialName(”");$tmp=[]::LoadWithPartialName(");pute・Hash{Param([Byte[]]$bytes=$null)$hasher=new-