Одним из наиболее важных способов защиты инфраструктуры единой системы обмена сообщениями Microsoft Exchange Server 2007 и создаваемого ею сетевого трафика является протокол MTLS (Mutual TLS). Протокол MTLS можно использовать для шифрования трафика SIP, проходящего между шлюзами IP, IP PBX, другими серверами Exchange 2007 и серверами единой системы обмена сообщениями. Шифрование данных SIP с помощью протокола MTLS обеспечивает их защиту.

После включения безопасности VoIP для абонентской группы единой системы обмена сообщениями с помощью параметра VoIPSecurity командлета Set-UMDialPlan все серверы единой системы обмена сообщениями, сопоставленные с данной абонентской группой, будут настроены на использование безопасного режима. Однако в зависимости от типа сертификата, используемого для протокола MTLS, необходимо сначала импортировать и экспортировать требуемые сертификаты для серверов единой системы обмена сообщениями, а также для шлюзов IP и IP PBX.

В этом разделе объясняется, как использовать тестовый телефон единой системы обмена сообщениями для проверки правильности настройки протокола MTLS.

Предварительная подготовка

Прежде чем запустить приложение тестового телефона единой системы обмена сообщениями Exchange, необходимо настроить клиентский компьютер, установив соответствующие звуковые устройства, драйверы звуковых устройств, динамики и микрофон. Приложение тестового телефона единой системы обмена сообщениями Exchange выполняет потоковую передачу звука с сервера единой системы обмена сообщениями на звуковые устройства, настроенные на клиентском компьютере. Прежде чем запускать приложение тестового телефона единой системы обмена сообщениями Exchange на клиентском компьютере, убедитесь в том, что эти устройства подключены и работают правильно. Дополнительные сведения о настройке тестового телефона единой системы обмена сообщениями см. в разделе Инструкции по настройке приложения тестового телефона единой системы обмена сообщениями.

Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать следующие роли:

  • роль администратора организации Exchange;

  • членство в локальной группе администраторов компьютера, на котором установлен тестовый телефон единой системы обмена сообщениями.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями

Кроме того, перед выполнением этих действий убедитесь в следующем:

  • служба единой системы обмена сообщениями Microsoft Exchange работает в режиме SipSecured;

  • если служба единой системы обмена сообщениями Microsoft Exchange использует самозаверяющий сертификат, он должен быть экспортирован из хранилища личных сертификатов в файл и сохранен в местоположении, доступ к которому возможен с компьютера, на котором установлено приложение тестового телефона единой системы обмена сообщениями;

  • создана абонентская группа единой системы обмена сообщениями;

  • создан автосекретарь единой системы обмена сообщениями.

  • сервер единой системы обмена сообщениями добавлен в абонентскую группу единой системы обмена сообщениями;

  • для абонентской группы единой системы обмена сообщениями установлен режим безопасности SipSecured;

  • приложение тестового телефона единой системы обмена сообщениями установлено и правильно настроено.

  • Дополнительные сведения о различных типах сертификатов, которые можно использовать с единой системой обмена сообщениями, см. в разделе Общие сведения о безопасности VoIP единой системы обмена сообщениями.

Процедура

Создание самозаверяющего сертификата для MTLS

  1. Откройте приложение тестового телефона единой системы обмена сообщениями Exchange, дважды щелкнув файл \bin\ExchangeUMTestPhone.exe.

  2. В окне Exchange UM Test Phone (Тестовый телефон единой системы обмена сообщениями Exchange) выберите в меню Tools (Сервис) пункт Setup (Настройка).

  3. На странице Setup (Настройка) в разделе Call Security Settings (Параметры безопасности вызовов) выберите пункт SIP secured (TLS) (SIP-шифрование — TLS), чтобы создать самозаверяющий сертификат.

  4. Убедитесь в том, что самозаверяющий сертификат находится в хранилище личных сертификатов на компьютере с установленным приложением тестового телефона единой системы обмена сообщениями Exchange. Убедитесь в том, что в качестве имени субъекта при создании самозаверяющего сертификата использовалось полное доменное имя узла, а также в том, что назначением сертификата является Проверка подлинности сервера.

    Примечание. Если самозаверяющий сертификат не создан, проверьте, входит ли используемая учетная запись в локальную группу администраторов.

  5. Экспортируйте самозаверяющий сертификат с использованием формата Файлы в Base64-кодировке X.509 (.CER).

  6. Чтобы экспортировать сертификат в формате Файлы в Base64-кодировке X.509 (.CER) в файл, следуйте инструкциям мастера экспорта сертификатов. Затем сохраните файл в местоположении, доступном для сервера единой системы обмена сообщениями.

  7. Импортируйте сертификат в хранилище Доверенные корневые центры сертификации на сервере единой системы обмена сообщениями с помощью мастера импорта сертификатов.

    Важно!
    Самозаверяющий сертификат не будет создан, если тестовый телефон единой системы обмена сообщениями обнаружит другой сертификат в хранилище личных сертификатов, в котором в качестве имени субъекта указано полное доменное имя компьютера, а назначением которого является Проверка подлинности сервера.

Дополнительные сведения об импорте и экспорте сертификатов см. в статье Импорт и экспорт сертификатов (на английском языке).

Создание запроса и импорт сертификата PKI

  1. Используйте мастер запроса нового сертификата, чтобы создать запрос на сертификат с использованием полного доменного имени компьютера и указать в качестве назначения сертификата параметр Проверка подлинности сервера. Для выдачи сертификата по запросу используйте настроенный в сети центр сертификации.

  2. Импортируйте сертификат в хранилище личных сертификатов на компьютере с установленным приложением тестового телефона единой системы обмена сообщениями Exchange.

  3. Импортируйте доверенный корневой сертификат из центра сертификации инфраструктуры открытого ключа (PKI) в хранилище Доверенные корневые центры сертификации на компьютере с установленным приложением тестового телефона единой системы обмена сообщениями Exchange.

    Важно!
    Эту процедуру можно также использовать для запроса стороннего или коммерческого сертификата и последующего импорта сертификата в хранилище личных сертификатов на компьютере. Однако в качестве назначения сертификата должен быть указан параметр Проверка подлинности сервера.

Проверка сервера единой системы обмена сообщениями в безопасном режиме

  1. Откройте приложение тестового телефона единой системы обмена сообщениями Exchange, дважды щелкнув файл \bin\ExchangeUMTestPhone.exe.

  2. В окне Exchange UM Test Phone (Тестовый телефон единой системы обмена сообщениями Exchange) выберите в меню Tools (Сервис) пункт Setup (Настройка).

  3. В окне Server Settings (Параметры сервера) введите в поле Server Address (Адрес сервера) имя узла сервера единой системы обмена сообщениями.

  4. Нажмите кнопку Make Call (Выполнить вызов), чтобы позвонить автосекретарю единой системы обмена сообщениями. Кнопка Make Call (Выполнить вызов) — значок зеленого цвета с изображением телефона, которая находится в окне Exchange UM Test Phone (Тестовый телефон единой системы обмена сообщениями Exchange).

  5. Следуйте голосовым приглашениям автосекретаря единой системы обмена сообщениями.

  6. После завершения проверки нажмите кнопку Hang Up (Повесить трубку) в приложении тестового телефона единой системы обмена сообщениями Exchange, чтобы разорвать связь.

Дополнительные сведения