exchange 2010应用环境

  • 四台前端服务器,两台位于DMZ区,两台位于办公网环境,办公网和DMZ的服务器做了NLB负载均衡,操作系统为windows server 2008 r2.
  • 目前前端https绑定的是企业自颁发的sha1证书,加密套件为系统默认.
  • 默认开启了RC4
  • 使用了非安全的协议SSL_V2.0及SSL_V3.0

更改需求

  1. 将DMZ区两台服务器IIS证书替换为公网的sha256证书
  2. 关闭RC4
  3. 禁用SSL_V2.0及SSL_V3.0,启用TLS_V1.2,TLS_V1.1,TLS_V1.0(默认已启用)协议
  4. 更新加密套件的优先顺序,配置Forward secrecy

操作

  • 购买证书

    由于公司有统一人员负责证书事宜,只提供了相关的域名,最终拿到手的是证一个私钥(private.key)及一个cer(20170928.cer)证书文件。需要将cer证书文件转为pfx类型的证书,然后导入服务器-个人区域。

    * 

    openssl.exe pkcs12 -in 20170928.cer -inkey private.key -export -out server.pfx

    
输入两次证书密码,就可以导出证书文件server.pfx





    * 需要安装完整的证书链,否则证书不能正常的使用。

  • 绑定证书

    iis管理器选择刚刚导入的证书,绑定到https

  • 禁用RC4

    将以下代码保存为rc4.reg并导入系统

     Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

    
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

    
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

    
"Enabled"=dword:00000000

  • 禁用ssl,启用tls

    将以下代码保存为ssl.reg并导入系统

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]

"Enabled"=dword:00000001

"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]

"Enabled"=dword:00000001

"DisabledByDefault"=dword:00000000

  • 更新加密套件

    可以运行gpedit.smc,选择计算机-管理模板-网络-ssl密码套件 启用并将$cipherSuitesOrder的值填入,参数之间用英文状态下的逗号隔开


以下为powershell脚本

$cipherSuitesOrder = @(

  'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521',

  'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384',

  'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256',

  'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521',

  'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384',

  'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256',

  'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521',

  'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521',

  'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384',

  'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256',

  'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384',

  'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256',

  'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521',

  'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384',

  'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521',

  'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384',

  'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256',

  'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521',

  'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384',

  'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521',

  'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384',

  'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256',

  'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521',

  'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384',

  'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256',

  'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521',

  'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384',

  'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256',

  'TLS_DHE_DSS_WITH_AES_256_CBC_SHA256',

  'TLS_DHE_DSS_WITH_AES_256_CBC_SHA',

  'TLS_DHE_DSS_WITH_AES_128_CBC_SHA256',

  'TLS_DHE_DSS_WITH_AES_128_CBC_SHA',

  'TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA',

  'TLS_RSA_WITH_AES_256_CBC_SHA256',

  'TLS_RSA_WITH_AES_256_CBC_SHA',

  'TLS_RSA_WITH_AES_128_CBC_SHA256',

  'TLS_RSA_WITH_AES_128_CBC_SHA',

  'TLS_RSA_WITH_RC4_128_SHA',

  'TLS_RSA_WITH_3DES_EDE_CBC_SHA'

)

$cipherSuitesAsString = [string]::join(',', $cipherSuitesOrder)

New-ItemProperty -path 'HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002' -name 'Functions' -value $cipherSuitesAsString -PropertyType 'String' -Force | Out-Null

exchange 2010 邮件服务器owa证书更新的更多相关文章

  1. Exchange 2010邮件服务器的搭建和部署

    Exchange主要是针对内部网或者企业网用户进行搭建的邮件服务器软件,利用它能够很快地搭建安全性较高的内部网邮件系统. 本次搭建在个人环境中实践,纯属爱好折腾,分四步骤,1.搭建windows 20 ...

  2. Windows Server 2008 R2 配置Exchange 2010邮件服务器

    windows server 服务器系统搭建邮件服务器一般两种情况: 1:Winmail server 软件 2:Exchange 参考教程:http://www.cnblogs.com/zhongw ...

  3. exchange 2010入门到精通

    exchange 2010入门到精通 Exchange产品介绍和功能演示 Exchange是什么 目前最受欢迎企业级邮件服务器产品 市场占有率70%(2011数据) 微软消息协作平台中核心产品 Exc ...

  4. Exchange 2010 邮箱大小限制原则

    在 Exchange中文站 的QQ群(68280328)里经常会有朋友问到关于 Exchange 2010 邮件大小限制的问题,因为有许多地方,而且定义的内容又是同样的,所以,让本来很简单的限制原则变 ...

  5. 邮件服务器hMailServer管理工具hMailServer Administrator汉化(转)

    //实现:邮件服务器hMailServer管理工具hMailServer Administrator的汉化 //环境: Windows Server 2008 R2 hMailServer Admin ...

  6. Exchange 2010 服务器邮件传输配额设置详解

    在企业的邮件系统管理中,传输邮件的大小配额关系到邮件队列.邮件传输速度以及关系到该附件是否能正常发送,直接关系到用户体验.为此,传输邮件大小的设置,也经常是企业邮件管理员比较迷惑的地方.如下: 1)  ...

  7. Exchange邮件服务器安全

    Exchange是由微软推出的用于企业环境中部署的邮件服务器.Exchange在逻辑上分为三个层次:网络层(network layer).目录层(directory layer).消息层(messag ...

  8. Exchange 2010 OWA部分用户不能访问

    Exchange 2010 OWA部分用户不能访问 http://blog.csdn.net/xuhuojun/article/details/17364619

  9. Exchange Server 2010邮件策略与遵从性

    本文档附带了一个附档,里面详细的描述了如何在Exchange Server 2010中配置如下内容: 1.邮件分类 2.免责申明 3.配置信息隔离墙 4.邮件审核 5.Exchange 2010与AD ...

随机推荐

  1. Office 的下载、安装和激活(图文详细)

    不多说,直接上干货! 在这里,推荐一个很好的网址,http://www.itellyou.cn/ 销售渠道不同,激活通道也不同.有零售版,有大客户版.零售的用零售密钥激活,一对一. SW开头或在中间有 ...

  2. Javac的命令(注解相关)

    1.-Akey[=value] Options to pass to annotation processors. These are not interpreted by javac directl ...

  3. html5电池状态相关API

    var battery = navigator.battery || navigator.webkitBattery || navigator.mozBattery || navigator.msBa ...

  4. Velocity工作原理解析和优化

    在MVC开发模式下,View离不开模板引擎,在Java语言中模板引擎使用得最多是JSP.Velocity和FreeMarker,在MVC编程开发模式中,必不可少的一个部分是V的部分.V负责前端的页面展 ...

  5. DataGridView 绑定数据方法

    DataGridView控件用于显示来自多种外部数据源中的数据,用户可以在此控件添加行和列,并可以填充数据.   如要让DataGridView显示数据库中的数据,只需要将此控件绑定到挑用数据库的数据 ...

  6. js导航下拉菜单

    使用定时器.鼠标移动事件 var img = $('#user_head'); var menu = $('.nav_list'); var i=0; var timer; img.mouseente ...

  7. 【8】memcached实例

    一.memcached环境搭建 1.下载后解压到D:\memcached(下载地址:memcached-win64下载地址) 2.安装到windows服务,打开cmd命令行,进入memcached目录 ...

  8. springboot在阿里CentOS 7后台永久运行

    查看Java进程可以使用 ps -ef|grep java 首次后台永久启动,会把日志输出到新建的log.file文件 nohup java -jar demo-0.0.1-SNAPSHOT.jar ...

  9. js复选框全选反选

    本篇文章是关于复选框的,有2种形式:1.全选.反选由2个按钮实现:2.全选.反选由一个按钮实现. <!DOCTYPE html> <html> <head> < ...

  10. 设置centos7.3的YUM源为国内阿里云源

     CentOS系统更换软件安装源 第一步:备份你的原镜像文件,以免出错后可以恢复. mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/Cent ...