域安全性指 Microsoft Exchange Server 2007 和 Microsoft Office Outlook 2007 中的功能集,它提供一种成本相对较低的备选安全解决方案,可代替 S/MIME 或其他邮件级安全解决方案。域安全性功能集的目的是为管理员提供一种管理Internet 上域之间的受保护邮件路径的方法。配置这些受保护的邮件路径后,成功从通过身份验证的发件人经由受保护的路径传递的邮件在 Outlook 和 Outlook Web Access 界面中对用户显示为"域安全"。
域安全性使用具有相互身份验证的传输层安全性 (TLS) 提供基于会话的身份验证和加密。具有相互身份验证的 TLS 与通常实现的 TLS 不同。通常,部署 TLS 只是用于以加密的形式提供机密性。在发件人和收件人之间没有发生认证。除了这种部署之外,有时,TLS 部署只对接收服务器进行身份验证。这种 TLS 部署是 TLS 的 HTTP 实现方式的典型部署。此实现方式是 SSL,只对接收服务器进行身份验证。
通过相互TLS认证,每个服务器通过验证其他服务器提供的证书来验证其他服务器的身份,在此方案中,在Exchange 2007环境中,通过验证的连接从外部域接收的邮件,Outlook 2007将显示“域安全”图标。
Exchange 2007 中的 TLS 功能以及相关术语
与早期版本的 Microsoft Exchange Server 相比,Exchange Server 2007 可以提供更多的管理功能和其他增强功能,可改善对传输层安全性 (TLS) 的总体管理。使用这项新功能时,应了解一些与 TLS 有关的新功能。某些术语和概念适用于多项与 TLS 有关的功能。在本主题中,简要介绍了每项功能,目的是帮助您了解与 TLS 和域安全性功能集有关的一些差异和常用术语。
1. 相互 TLS 正如前面描述的那样,相互TLS部署在这样的场景中,发送方和接收方在开始发送数据之前要互相认证。
2. 域安全性 域安全性是使相互 TLS 成为有用并且容易管理的技术的功能集,例如证书管理、连接器功能和 Outlook 客户端行为。
3. 机会型 TLS 在早期版本的 Exchange Server 中,必须手动配置 TLS。此外,必须在运行 Exchange Server 的服务器上安装适合 TLS 使用的有效证书。在 Exchange 2007 中,安装程序将创建自签名证书。默认情况下启用 TLS。这样,任何发送系统可以对 Microsoft Exchange 的入站简单邮件传输协议 (SMTP) 会话进行加密。默认情况下,Exchange 2007 还尝试对所有远程连接使用 TLS。
4. 直接信任 默认情况下,边缘传输服务器与集线器传输服务器之间的所有通信均进行身份验证并加密。身份验证和加密的基础机制仍是相互 TLS。Exchange 2007 使用直接信任(而不是使用 X.509 验证)来验证证书。直接信任意味着 Active Directory 目录服务或 Active Directory 应用程序模式 (ADAM) 目录服务中存在证书即证明证书有效。Active Directory 被视为受信任的存储机制。使用直接信任时,证书是自签名还是由证书颁发机构签名并不重要。将边缘传输服务器订阅到 Exchange 组织时,边缘订阅将在 Active Directory 中发布边缘传输服务器证书,以便集线器传输服务器进行验证。Microsoft Exchange EdgeSync 服务使用集线器传输服务器证书集更新 ADAM,以便边缘传输服务器进行验证。