Протокол Secure Sockets Layer (SSL) обеспечивает безопасность взаимодействия между клиентом и сервером. Для этого он и используется на компьютерах с сервером Microsoft Exchange Server 2007 с установленной ролью сервера клиентского доступа. Клиентами являются мобильные устройства, компьютеры внутри сети организации и компьютеры за пределами сети организации. К ним относятся как клиенты, использующие VPN-подключения, так и не использующие их.
В конфигурации сервера Exchange 2007 по умолчанию взаимодействия с клиентами шифруются по протоколу SSL при использовании Outlook Web Access, Exchange ActiveSync и мобильного Outlook. По умолчанию протоколы POP3 и IMAP4 не настроены для использования SSL.
Протокол SSL требует применения цифровых сертификатов. В данном разделе приведены общие сведения о различных типах цифровых сертификатов и настройке сервера клиентского доступа для использования этих сертификатов.
Обзор цифровых сертификатов
Цифровые сертификаты — это файлы, которые используются аналогично паролям для подтверждения подлинности пользователя или компьютера. Они используются для создания зашифрованного канала SSL, по которому осуществляется взаимодействие с клиентами. Сертификат — это цифровой документ, который выпускается центром сертификации; он подтверждает подлинность держателя сертификата и позволяет сторонам взаимодействовать безопасным способом, используя шифрование.
Цифровые сертификаты выполняют следующие функции:
- подтверждение того, что их владельцы (физические лица,
веб-узлы и даже сетевые ресурсы, например маршрутизаторы)
действительно являются теми, за кого они себя выдают;
- защита передаваемых по сети данных от похищения или
изменения.
Цифровые сертификаты могут выдаваться доверенным сторонним центром сертификации или инфраструктурой открытого ключа Microsoft Windows с использованием служб сертификатов, а также могут быть самозаверяющими. У каждого типа сертификатов есть свои преимущества и недостатки, однако в любом случае цифровые сертификаты защищены от несанкционированного изменения и подделки.
Сертификаты могут выдаваться для выполнения различных задач, в том числе для проверки подлинности пользователей и веб-серверов, для использования расширений S/MIME, протоколов IPsec и TLS, а также для подписания кода.
Сертификат содержит открытый ключ и связывает его с удостоверением владельца (пользователя, компьютера или службы) соответствующего закрытого ключа. Открытый и закрытый ключи используются клиентом и сервером для шифрования данных перед их передачей. Для пользователей, компьютеров и служб Microsoft Windows отношения доверия в центре сертификации устанавливаются при наличии в доверенном корневом хранилище сертификатов копии корневого сертификата и при условии того, что сертификат содержит действительный путь сертификации. Чтобы сертификат был действительным, он не должен быть отозван, а срок его действия не должен истечь.
Типы сертификатов
Существует три основных типа цифровых сертификатов: самозаверяющие сертификаты, сертификаты, создаваемые инфраструктурой открытого ключа Windows, и сертификаты сторонних центров сертификации.
Самозаверяющие сертификаты
При установке сервера Exchange 2007 автоматически настраивается самозаверяющий сертификат. Самозаверяющий сертификат подписывается приложением, которое его создало. Получатель и имя сертификата совпадают. В сертификате указываются его поставщик и субъект. Самозаверяющий сертификат позволяет некоторым клиентским протоколам использовать при передаче данных протокол SSL. Microsoft Exchange ActiveSync и Office Outlook Web Access могут устанавливать подключения SSL с помощью самозаверяющего сертификата. Мобильный Outlook самозаверяющие сертификаты не поддерживает. Самозаверяющие сертификаты необходимо вручную копировать в доверенное корневое хранилище сертификатов на клиентском компьютере или мобильном устройстве. Когда клиент подключается к серверу по протоколу SSL и сервер предъявляет самозаверяющий сертификат, у клиента запрашивается подтверждение того, что сертификат был выдан доверенным центром сертификации. Клиент должен явно выразить доверие этому центру сертификации. Если он это сделает, можно будет продолжить взаимодействие по протоколу SSL.
По экономическим соображениям или из-за отсутствия у администраторов опыта и знаний по созданию своей собственной иерархии сертификатов или по обеим причинам в небольших организациях часто принимается решение не использовать сторонние сертификаты и не устанавливать собственную инфраструктуру открытых ключей для выпуска собственных сертификатов. Если использовать самозаверяющие сертификаты, то затраты получаются минимальными, а установка — простой. Однако при использовании самозаверяющих сертификатов гораздо труднее создать инфраструктуру для управления жизненным циклом сертификатов, их обновления, управления отношениями доверия и отзыва сертификатов.
Сертификаты, создаваемые инфраструктурой открытого ключа Windows
Второй тип сертификатов — сертификаты, создаваемые инфраструктурой открытого ключа Windows. Инфраструктура открытого ключа представляет собой систему цифровых сертификатов, центров сертификации и центров регистрации, которые проверяют действительность каждого компонента, участвующего в электронной транзакции, с использованием криптографии на основе открытого ключа. При создании центра сертификации в организации, использующей службу каталогов Active Directory, необходимо обеспечить инфраструктуру для управления жизненным циклом сертификатов, их обновления, управления отношениями доверия и отзыва сертификатов. Однако для создания сертификатов инфраструктуры открытого ключа Windows и управления ими необходимо выделить дополнительные средства на развертывание серверов и инфраструктуры.
Для развертывания инфраструктуры открытого ключа Windows необходимы службы сертификации, которые можно установить с помощью компонента «Установка и удаление программ» панели управления. Службы сертификации можно установить на любом сервере в домене.
Если сертификаты выдает центр сертификации, присоединенный к домену Windows, этот центр можно использовать, чтобы запрашивать и подписывать сертификаты, которые необходимо выпустить для серверов или компьютеров в своей сети. Это позволяет использовать инфраструктуру открытого ключа, аналогичную той, которую используют сторонние поставщики сертификатов, но менее дорогую. В отличие от сертификатов других типов такие сертификаты инфраструктуры открытого ключа не могут быть развернуты для открытого использования, однако когда центр сертификации инфраструктуры открытого ключа подписывает сертификат запросившей стороны с помощью закрытого ключа, выполняется проверка запросившей стороны. Открытый ключ такого центра сертификации является частью сертификата. Сервер, имеющий такой сертификат в доверенном корневом хранилище сертификатов, может использовать этот открытый ключ для расшифровки сертификата запросившей стороны и проверки ее подлинности.
Процедура развертывания сертификата, созданного инфраструктурой открытого ключа, мало чем отличается от развертывания самозаверяющего сертификата. При этом также необходимо установить копию доверенного корневого сертификата, полученного от инфраструктуры открытого ключа, в доверенном корневом хранилище сертификатов на компьютерах или мобильных устройствах, которым требуется устанавливать SSL-соединения с сервером Microsoft Exchange.
Инфраструктура открытого ключа Windows позволяет организациям публиковать собственные сертификаты. Клиенты могут запрашивать и получать сертификаты от инфраструктуры открытого ключа Windows во внутренней сети. Инфраструктура открытого ключа Windows может обновлять и отзывать сертификаты.
Дополнительные сведения см. в указанных ниже разделах.
- Дополнительные сведения о сертификатах см. в статье Инфраструктура открытого ключа для Windows Server 2003
(на английском языке).
- Советы по реализации инфраструктуры открытого ключа Windows см.
в статье Оптимальные способы реализации инфраструктуры открытого
ключа Microsoft Windows Server 2003 (на английском языке).
- Дополнительные сведения о развертывании инфраструктуры
открытого ключа на основе Windows см. в руководстве по операциям инфраструктуры открытого ключа
Windows Server 2003 (на английском языке).
Доверенные сертификаты сторонних центров сертификации
Сторонние или коммерческие сертификаты — это сертификаты, которые создаются сторонними или коммерческими центрами сертификации и затем приобретаются их клиентами для использования на своих сетевых серверах. Одна из проблем при использовании самозаверяющих сертификатов и сертификатов на основе инфраструктуры открытого ключа состоит в том, что сертификат необходимо импортировать в доверенное корневое хранилище сертификатов на клиентских компьютерах и устройствах, поскольку клиентский компьютер или мобильное устройство не выражает доверие такому сертификату автоматически. При использовании сторонних или коммерческих сертификатов такой проблемы не возникает. Большинство сертификатов коммерческих центров сертификации уже являются доверенными, потому что такой сертификат уже находится в доверенном корневом хранилище сертификатов. Поскольку издатель сертификата является доверенным, сертификат также оказывается доверенным. Использование сторонних сертификатов во многом упрощает развертывание.
Для крупных организаций или для организаций, которым необходимо публичное развертывание сертификатов, использование сторонних или коммерческих сертификатов — наилучшее решение, которое, однако, влечет за собой связанные с таким сертификатом расходы. Коммерческие сертификаты могут оказаться не лучшим решением для организаций малого и среднего размера, поэтому они могут рассмотреть целесообразность использования сертификатов других типов.
Выбор типа сертификата
При выборе типа устанавливаемого сертификата следует учесть несколько факторов. Чтобы сертификат был действительным, он должен быть подписан. Он может быть самозаверяющим или же подписанным центром сертификации. Самозаверяющий сертификат имеет ограничения. Например, не на всех мобильных устройствах пользователь может установить цифровой сертификат в доверенное корневое хранилище сертификатов. Поддержка установки сертификатов на мобильном устройстве зависит от изготовителя устройства и оператора мобильной связи. Некоторые изготовители и операторы мобильной связи блокируют доступ к доверенному корневому хранилищу сертификатов. В этом случае на мобильном устройстве нельзя установить ни самозаверяющий сертификат, ни сертификат, полученный от центра сертификации инфраструктуры открытого ключа Windows.
Большинство мобильных устройств поставляются с несколькими предустановленными доверенными коммерческими сертификатами сторонних центров сертификации. Чтобы сделать работу максимально удобной, реализуйте для Exchange ActiveSync проверку подлинности на основе сертификатов с помощью устройств, работающих под управлением системы Windows Mobile 6.0, и цифрового сертификата, полученного от доверенного стороннего центра сертификации.
Дополнительные сведения
Дополнительные сведения см. в следующих разделах: