Протокол SSL обеспечивает безопасность взаимодействия между клиентом и сервером. Он применяется с этой целью на компьютерах с Microsoft Exchange Server 2007, на которых установлена роль сервера клиентского доступа. К клиентам относятся мобильные устройства, а также компьютеры, находящиеся в сети организации и вне ее. Клиенты могут иметь или не иметь подключения к виртуальной частной сети (VPN).
В конфигурации сервера Exchange 2007 по умолчанию связь с клиентами шифруются по протоколу SSL при использовании Microsoft Office Outlook Web Access Microsoft Exchange ActiveSync и мобильного Outlook. По умолчанию протоколы POP3 и IMAP4 не настроены для использования SSL.
Протокол SSL требует применения цифровых сертификатов. В данном разделе приведены общие сведения о различных типах цифровых сертификатов и настройке сервера клиентского доступа для использования этих сертификатов.
Обзор цифровых сертификатов
Цифровые сертификаты — это файлы, которые используются аналогично паролям для подтверждения подлинности пользователя или компьютера. Они позволяют создать зашифрованный канал SSL, по которому осуществляется связь с клиентами. Сертификат — это цифровой документ, который выпускается центром сертификации; он подтверждает подлинность владельца сертификата и обеспечивает безопасность взаимодействия сторон с помощью шифрования.
Цифровые сертификаты выполняют следующие функции:
- проверка того, что их владельцы – физические лица,
веб-узлы и даже сетевые ресурсы, например маршрутизаторы,
действительно те, за кого они себя выдают;
- защита передаваемых по сети данных от кражи или изменения.
Цифровые сертификаты могут выдаваться доверенным сторонним центром сертификации или инфраструктурой открытого ключа (PKI)Microsoft Windows с использованием служб сертификации. Кроме того, цифровые сертификаты могут быть самозаверяющими. У каждого типа сертификатов есть свои преимущества и недостатки, однако в любом случае цифровые сертификаты защищены от изменения и подделки.
Сертификаты могут выдаваться для выполнения различных задач, в том числе для проверки подлинности веб-пользователей и веб-серверов, для использования расширений S/MIME, протоколов IPsec и TLS, а также для подписывания кода.
Сертификат содержит открытый ключ, который он связывает с удостоверением владельца (пользователя, компьютера или службы) соответствующего закрытого ключа. Открытый и закрытый ключи используются клиентом и сервером для шифрования данных перед их передачей. Для пользователей, компьютеров и служб Microsoft Windows доверие в центре сертификации устанавливается, если в доверенном корневом хранилище сертификатов существует копия корневого сертификата, а сертификат содержит допустимый путь сертификации. Сертификат считается допустимым, если он не был отозван и не истек срок его действия.
Типы сертификатов
Существует три основных типа цифровых сертификатов: самозаверяющие сертификаты, сертификаты, создаваемые PKI Windows, и сертификаты сторонних центров сертификации.
Самозаверяющие сертификаты
При установке Exchange 2007 автоматически настраивается самозаверяющий сертификат. Самозаверяющий сертификат подписывается приложением, которое создает его. Субъект и имя сертификата совпадают. Кроме субъекта в сертификате указывается его издатель. Самозаверяющий сертификат позволяет некоторым клиентским протоколам использовать при передаче данных протокол SSL. SSL-соединение между Exchange ActiveSync и Outlook Web Access может устанавливаться при использовании самозаверяющего сертификата. Мобильный Outlook самозаверяющие сертификаты не поддерживает. Самозаверяющие сертификаты необходимо вручную копировать в доверенное корневое хранилище сертификатов на клиентском компьютере или мобильном устройстве. Когда клиент подключается к серверу по протоколу SSL и сервер предъявляет самозаверяющий сертификат, у клиента запрашивается подтверждение того, что сертификат был выдан доверенным центром сертификации. Клиент должен явно выразить доверие этому центру сертификации. При этом можно будет продолжить взаимодействие по протоколу SSL.
По экономическим соображениям или из-за отсутствия у администраторов необходимого опыта и знаний для создания собственной иерархии сертификатов (или по обеим причинам) на малых предприятиях часто принимается решение не использовать сторонние сертификаты и не устанавливать инфраструктуру PKI для выпуска собственных сертификатов. При использовании самозаверяющих сертификатов затраты минимальные, а установка простая. Однако в таком случае гораздо труднее создать инфраструктуру для управления жизненным циклом сертификатов, их обновления, управления доверием и отзыва сертификатов.
Сертификаты, создаваемые инфраструктурой открытого ключа Windows
Второй тип сертификатов — сертификаты, создаваемые PKI Windows. PKI представляет собой систему цифровых сертификатов, центров сертификации и центров регистрации, которые проверяют допустимость каждого компонента, участвующего в электронной транзакции, с использованием шифрования с открытым ключом. При внедрении центра сертификации в организации, использующей службу каталогов Active Directory, создается инфраструктура для управления жизненным циклом сертификатов, их обновления, управления доверием и отзыва сертификатов. Однако для создания сертификатов PKI Windows и управления ими необходимо выделить дополнительные средства на развертывание серверов и инфраструктуры.
Для развертывания PKI Windows необходимы службы сертификации, которые можно установить с помощью компонента «Установка и удаление программ» панели управления. Службы сертификации можно установить на любом сервере в домене.
Если сертификаты выдает центр сертификации, подключенный к домену Windows, можно использовать его для запроса и подписи сертификатов, выдаваемых серверам или компьютерам в сети. Это позволяет использовать инфраструктуру PKI, аналогичную той, которую используют сторонние поставщики сертификатов, но менее дорогую. В отличие от сертификатов других типов такие сертификаты PKI нельзя развернуть для общего использования, однако когда центр сертификации PKI подписывает сертификат запросившей стороны с помощью закрытого ключа, выполняется проверка инициатора запросившей стороны. Открытый ключ такого центра сертификации является частью сертификата. Сервер, имеющий такой сертификат в доверенном корневом хранилище сертификатов, может использовать этот открытый ключ для расшифровки сертификата запросившей стороны и проверки ее подлинности.
Процедура развертывания сертификата, созданного инфраструктурой PKI, аналогична процедуре развертывания самозаверяющего сертификата. При этом также необходимо установить копию доверенного корневого сертификата, полученного от PKI, в доверенном корневом хранилище сертификатов на компьютерах или мобильных устройствах, которым требуется устанавливать SSL-соединение с Microsoft Exchange.
PKI Windows позволяет организациям публиковать собственные сертификаты. Клиенты могут запрашивать и получать сертификаты от PKI Windows во внутренней сети. PKI Windows может обновлять и отзывать сертификаты.
Дополнительные сведения см. в следующих разделах:
- Дополнительные сведения о сертификатах см. в статье Инфраструктура открытого ключа для Windows Server 2003
(на английском языке).
- Советы по внедрению инфраструктуры Windows PKI см. в
статье Лучшие решения для внедрения инфраструктуры
открытого ключа Microsoft Windows Server 2003 (на английском
языке).
- Дополнительные сведения о развертывании PKI на базе Windows см.
в Руководстве по использованию Windows Server 2003
PKI (на английском языке).
Доверенные сертификаты сторонних центров сертификации
Сторонние (коммерческие) сертификаты – это сертификаты, которые создаются сторонними, или коммерческими, центрами сертификации и затем приобретаются для использования на сетевых серверах. Одна из проблем при использовании самозаверяющих сертификатов и сертификатов на основе PKI состоит в том, что, поскольку клиентский компьютер или мобильное устройство не доверяют такому сертификату автоматически, необходимо импортировать сертификат в доверенное корневое хранилище сертификатов на клиентских компьютерах и устройствах. При использовании сторонних (коммерческих) сертификатов такая проблема не возникает. Большинство сертификатов коммерческих центров сертификации уже являются доверенными, потому что находятся в доверенном корневом хранилище сертификатов. Так как издатель сертификата является доверенным, сертификат также считается доверенным. Использование сторонних сертификатов во многом упрощает развертывание.
Для крупных организаций или для организаций, которым необходимо развертывать сертификаты для общего использования, применение сторонних (коммерческих) сертификатов – наилучшее решение, несмотря на связанные с этим расходы. Коммерческие сертификаты могут оказаться не лучшим решением для малых и средних организаций, поэтому в них может быть целесообразно использовать сертификаты других типов.
Выбор типа сертификата
При выборе типа устанавливаемого сертификата следует учесть несколько факторов. Чтобы сертификат был допустимым, он должен быть подписан. Он может быть самозаверяющим или же подписанным центром сертификации. Самозаверяющий сертификат имеет ограничения. Например, не на всех мобильных устройствах пользователь может установить цифровой сертификат в доверенное корневое хранилище сертификатов. Поддержка установки сертификатов на мобильном устройстве зависит от изготовителя устройства и оператора мобильной связи. Некоторые изготовители и операторы мобильной связи отключают доступ к доверенному корневому хранилищу сертификатов. В этом случае на мобильном устройстве нельзя установить ни самозаверяющий сертификат, ни сертификат, полученный от центра сертификации Windows PKI.
Большинство мобильных устройств поставляются с несколькими предустановленными доверенными сторонними коммерческими сертификатами. Чтобы сделать работу максимально удобной, реализуйте для Exchange ActiveSync проверку подлинности на основе сертификатов с помощью устройств, работающих под управлением системы Windows Mobile 6.0, и цифрового сертификата, полученного от доверенного стороннего центра сертификации.
Дополнительные сведения
Дополнительные сведения см. в следующих разделах:
- Управление
протоколом SSL на сервере клиентского доступа
- Инструкции
по настройке сертификатов SSL для использования имен узлов сервера
с доступом нескольких клиентов
- Инструкция
по установке сертификатов на устройство, работающее под управлением
операционной системы Windows Mobile
- Инструкции
по настройке виртуальных каталогов веб-клиента Outlook для
использования SSL