Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2009-11-25
Microsoft Exchange Server 2010 предоставляет административные функции и другие усовершенствования, которые улучшают управление протоколом TLS (Transport Layer Security). Для работы с ними важно знать о некоторых возможностях и функциях, связанных с TLS. Некоторые термины и понятия относятся к нескольким возможностям, связанным с TLS. В этом разделе содержатся краткие описания каждой функции, которые позволят понять некоторые различия и общие термины, связанные с TLS и безопасностью домена.
- Протокол TLS TLS — это стандартный
протокол, который используется для защиты веб-соединений в
Интернете или интрасетях. Он позволяет клиентам выполнять проверку
подлинности серверов, а серверам — проверку подлинности клиентов
(при необходимости). Этот протокол также обеспечивает защищенный
канал путем шифрования передаваемых данных. Протокол TLS является
более последней версией протокола SSL.
- Mutual TLS Применение протокола Mutual
TLS для проверки подлинности отличается от обычного развертывания
TLS. Обычно при развертывании протокола TLS он используется только
для обеспечения конфиденциальности с помощью шифрования. Между
отправителем и получателем не выполняется проверка подлинности.
Кроме того, иногда при развертывании TLS выполняется проверка
подлинности только принимающего сервера. Это обычно происходит при
реализации TLS для HTTP. В таком случае (когда выполняется проверка
только принимающего сервера) используется SSL.
При использовании проверки подлинности Mutual TLS каждый сервер проверяет идентификатор другого сервера путем проверки подлинности сертификата, предоставленного другой стороной. В этом случае, то есть когда в среде Exchange 2010 от внешних доменов поступают переданные через проверенные соединения сообщения, в Microsoft Outlook отображается значок «Защищено на уровне домена».
- Безопасность домена. Безопасность
домена — это набор возможностей, таких как управление
сертификатами, функции соединителей и поведение клиента Outlook,
который обеспечивает управляемость и полезность технологии Mutual
TLS.
- Гибкий TLS В предыдущих версиях
Exchange протокол TLS требовалось настраивать вручную. Кроме того,
была обязательна установка допустимого сертификата, поддерживающего
TLS, на сервер под управлением Exchange. В Exchange 2010 программа
установки создает самозаверяющий сертификат. По умолчанию протокол
TLS включен. Это позволяет любой системе, отправляющей данные,
шифровать входящий сеанс SMTP с сервером Exchange. По
умолчанию сервер Exchange 2010 также пытается использовать
протокол TLS для всех удаленных подключений.
- Прямое доверие. По умолчанию весь
трафик между пограничными транспортными серверами и транспортными
серверами-концентраторами проходит проверку подлинности и
шифруется. В качестве механизма проверки подлинности и шифрования
используется Mutual TLS. Вместо проверки X.509 для проверки
подлинности сертификатов в Exchange 2010 используется прямое
доверие. Прямое доверие означает, что наличие сертификата
в Служба каталогов Active Directory или службах облегченного
доступа к каталогам Служба каталогов Active Directory (AD LDS)
подтверждает подлинность сертификата. Служба каталогов Active
Directory считается доверенным механизмом хранения. Если
используется прямое доверие, не имеет значения, применяется ли
самозаверяющий сертификат или же сертификат, подписанный центром
сертификации. При подписке пограничного транспортного сервера на
организацию Exchange пограничная подписка публикует сертификат
пограничного транспортного сервера в Служба каталогов Active
Directory для проверки транспортными серверами-концентраторами.
Служба Microsoft Exchange EdgeSync обновляет службы
облегченного доступа к каталогам с помощью набора сертификатов
транспортного сервера-концентратора, чтобы пограничный транспортный
сервер проверил их.