none
exchange2010自签名证书问题 RRS feed

  • 问题

  • 如下微软帮助文档描述,有几个疑问

    1/exchange2010在与外部邮件服务器通信时,默认是否加密?是否一定要双方服务器都强制使用tls加密才会通信加密?

    2/下文所谓的与外部服务器加密smtp会话,本地服务器是否还使用25端口?

    3/(自签名证书不提供内部或外部客户端的加密通信),是否意味着cas服务器使用自签名证书的情况下,outllook客户端不论使用mapi或outlookanyerer连接服务器收发邮件均不会加密?

    4/(客户端和服务器不信任 Exchange 自签名证书, 因为证书不是在其受信任的根证书存储中定义的)是否是指

    如果因为自签名证书不被客户端信任才会无法加密通信?如下图在客户端连接邮件CAS服务器的时候将此自签名证书安装在客户端电脑受信任更证书

    办法机构的话,是否自签名证书就可以对该客户端连接服务器的通信进行加密?

    Microsoft Exchange 此 Exchange 自签名证书具有以下功能: 
    •组织中的所有其他 Exchange 服务器将自动信任该证书。这包括订阅到 Exchange 组织的任何边缘传输服务器。
    •自动为除统一消息之外的所有 Exchange 服务启用证书, 并用于对 exchange 服务器、同一台计算机上的 exchange 服务以及从客户端代理的客户端连接进行内部通信。对邮箱服务器上的后端服务的访问服务。(注意: UM 在 Exchange 2019 上不可用。)
    •自动为来自外部 smtp 邮件服务器的入站连接启用证书, 以及与外部 smtp 邮件传递服务器的出站连接。此默认配置允许 Exchange 在所有入站和出站 SMTP 连接上提供机会 TLS 。Exchange 尝试使用外部邮件服务器加密 SMTP 会话, 但如果外部服务器不支持 TLS 加密, 则不会对会话进行加密。
    •证书不提供与内部或外部客户端的加密通信。客户端和服务器不信任 Exchange 自签名证书, 因为证书不是在其受信任的根证书存储中定义的。

    2019年3月5日 2:53

答案

  • 您好,

    >>1/exchange2010在与外部邮件服务器通信时,默认是否加密?是否一定要双方服务器都强制使用tls加密才会通信加密?

    默认情况下,Exchange会对与外部邮件服务器的通信进行加密,但是由于不是所有的邮件服务器都支持tls,如果对方的邮件服务器不支持tls,那么通信将不会加密,对方服务器是否强制tls加密没有影响。

    >>2/下文所谓的与外部服务器加密smtp会话,本地服务器是否还使用25端口?

    是的,默认情况下都是使用25端口。

    >>3/(自签名证书不提供内部或外部客户端的加密通信),是否意味着cas服务器使用自签名证书的情况下,outllook客户端不论使用mapi或outlookanyerer连接服务器收发邮件均不会加密?

    是的,另外,Outlook Anywhere不支持使用自签名证书。

    >>4/(客户端和服务器不信任 Exchange 自签名证书, 因为证书不是在其受信任的根证书存储中定义的)是否是指

    如果因为自签名证书不被客户端信任才会无法加密通信?如下图在客户端连接邮件CAS服务器的时候将此自签名证书安装在客户端电脑受信任更证书办法机构的话,是否自签名证书就可以对该客户端连接服务器的通信进行加密?

    理论上是可以的。但是如第3点所说,OWA, Exchange ActiveSync可以使用自签名证书,但是Outlook Anywhere必须要使用CA证书。

    此致,

    Steve Fan


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年3月5日 9:41
    版主

全部回复

  • 您好,

    >>1/exchange2010在与外部邮件服务器通信时,默认是否加密?是否一定要双方服务器都强制使用tls加密才会通信加密?

    默认情况下,Exchange会对与外部邮件服务器的通信进行加密,但是由于不是所有的邮件服务器都支持tls,如果对方的邮件服务器不支持tls,那么通信将不会加密,对方服务器是否强制tls加密没有影响。

    >>2/下文所谓的与外部服务器加密smtp会话,本地服务器是否还使用25端口?

    是的,默认情况下都是使用25端口。

    >>3/(自签名证书不提供内部或外部客户端的加密通信),是否意味着cas服务器使用自签名证书的情况下,outllook客户端不论使用mapi或outlookanyerer连接服务器收发邮件均不会加密?

    是的,另外,Outlook Anywhere不支持使用自签名证书。

    >>4/(客户端和服务器不信任 Exchange 自签名证书, 因为证书不是在其受信任的根证书存储中定义的)是否是指

    如果因为自签名证书不被客户端信任才会无法加密通信?如下图在客户端连接邮件CAS服务器的时候将此自签名证书安装在客户端电脑受信任更证书办法机构的话,是否自签名证书就可以对该客户端连接服务器的通信进行加密?

    理论上是可以的。但是如第3点所说,OWA, Exchange ActiveSync可以使用自签名证书,但是Outlook Anywhere必须要使用CA证书。

    此致,

    Steve Fan


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年3月5日 9:41
    版主
  • 十分感谢您的回答
    2019年3月6日 1:53