Qun lý các chng ch trong Exchange - Phn 1
Các chng ch có th được s dng để mã hóa lung d liu
truyn thông gia hai đim kết cui (c các máy ch và các máy
khách). Bên cnh đó các chng ch cũng được s dng bi các
đim kết cui này để t thm định bn thân chúng đối vi các
thành phn khác.
Exchange 2007 s dng các chng ch X.509 để thm định và
mã hóa. Các chng ch này tuân theo mt định dng chun khi
được công b bi ITU-T (Telecommunication Standardization
Sector).
Có mt vài thành phn trong Exchange 2007 da vào các chng ch để phc v cho mc đích mã
hóa và thm định hoc c hai. Trong phn mt ca lot bài này, chúng tôi s cung cp cho các
bn mt cách nhìn tng quan v các thành phn khác nhau ca Exchange có s dng các chng
ch. Sau đó chúng tôi s gii thiu sâu hơn v các tính năng ca mi mt chng ch self-signed
được to mt cách mc định.
Vic S dng chng ch bi các thành phn Exchange Server 2007
Như gii thiu trên, mt s thành phn ca Exchange Server 2007 có s dng các chng ch
X.509 cho vic mã hóa và thm định hoc c hai. Bn s thy rng khi cài đặt Exchange 2007
Hub Transport server role, Client Access server role, Unified Messaging server role và Edge
Transport server role, Exchange s to mt chng ch self-signed mc định để bo đảm rng các
thành phn duy nht ca nó có th s dng chng ch đó để thc hin chc năng như yêu cu.
Hình 1 bên dưới th hin cho các bn thy chng ch self-signed được to bi Exchange như thế
nào trong sut quá trình cài đặt các role Exchange 2007 Client Access, Hub và Unified
Messaging. Chng ch này s được s dng bi các dch v: IIS, SMTP, POP, IMAP và UM.
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Hình 1: Chng ch self-signed được to mc định khi cài đặt role Exchange 2007 HUB, CAS,
UM server
Các chng ch và role Hub/Edge Transport
Bo mt lp truyn ti gia các site Active Directory
Role Exchange 2007 Hub Transport server s dng mt chng ch để mã hóa tt c lưu lượng
gia các site Active Directory. Bn không th cu hình Exchange để cho phép lưu lượng SMTP
không b mã hóa gia các máy ch Hub Transport nm trong các site khác nhau.
Để xem chng ch nào được s dng gia các máy ch Hub Transport nm trong các site Active
Directory khác nhau, hãy s dng giao thc SMTP đăng nhp vào Send connector bên trong t
chc trên mi máy ch Hub Transport, xem trong hình 2 bên dưới, bng cách s dng lnh Set-
TransportServer ca Exchange Management Shell.
Hình 2: Thiết lp IntraOrgConnectorProtocolLogging thành verbose
Bng cách thiết lp IntraOrgConnectorProtocolLoggingLevel thành verbose, giao thc đăng
nhp s được b sung vào bn ghi giao thc ca Send connector. Sau khi gi mt mail t
Mailbox trong site B đến mt Mailbox được đặt trên máy ch Mailbox Exchange 2007 trong site
A, quan sát bn ghi giao thc Send bn s thy được rng Exchange Hub Transport server trong
Site B (Ex2007SE) s dng chng ch được cung cp bi Exchange Hub Transport server trong
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
site Active Directory đích (Ex2007EE) để khi động Transport Layer Security, xem c th trong
hình 3.
Hình 3: Gi bn ghi giao thc gia các site Active Directory
Bn có th quan sát ngay được chng ch trên máy ch Hub Transport đang trng thái có sn
cho TLS, điu đó th hin rng nó là mt chng ch self-signed đã được s dng (hình 4).
Hình 4: Chng ch Self Signed
EdgeSync
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Once EdgeSync được cu hình gia các máy ch Hub Transport bên trong và Edge Transport, c
hai máy ch đều s s dng mt chng ch để mã hóa vn đề truyn thông ca chúng. Thêm vào
đó, c hai đều s được s dng để cung cp ch th cho s tin cy. S tin cy này là mt phương
pháp thm định nơi chng ch có th được s dng để thm định khi chng ch đã cp hin din
trong Active Directory (vi Hub Transport server role) hoc ADAM/LDS (cho Edge Transport
server role). Khi thiết lp EdgeSync, các chng ch được yêu cu s được công b trong đúng
location.
Bo mt lp truyn ti
Bt c khi nào mt máy ch m mt kết ni vi Exchange 2007 Hub/Edge Transport server role,
Exchange s cho phép mt TLS bng cách cung cp chng ch ca nó.
Bo mt min
Các chng ch cũng có th được s dng bi Hub/Edge Transport để cu hình Domain Security
vi các t chc đối tác, c mã hóa và thm định.
Role Client Access Server và các chng ch
Client Access
Các chng ch được s dng bi Client Access server role để cho phép lung d liu truyn
thông được mã hóa gia Client Access server và các máy khách ca nó. Mc định SSL được yêu
cu cho:
Outlook Web Access
Outlook Anywhere
Exchange ActiveSync
POP3
IMAP4
Exchange Web Services như Autodiscover, EWS và Unified Messaging
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Hình 5: Yêu cu SSL
Vi thư mc o, s s dng chng ch không được yêu cu mc định, là thành phn làm cho
Offline Address Book có sn download bi các máy khách Microsoft Office Outlook 2007 và
mi hơn.
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com