Compreendendo SSL para Servidores de Acesso para Cliente
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-03-23
O SSL é um método utilizado para proteger comunicações entre um cliente e um servidor. Em um computador que execute o Microsoft Exchange Server 2007 com uma função de servidor Acesso para Cliente instalada, o SSL é usado para ajudar a proteger as comunicações entre o servidor e os clientes. Entre os clientes estão incluídos dispositivos móveis, computadores dentro da rede da organização e computadores fora da rede da organização. Isso inclui clientes com e sem conexões de VPN (rede virtual privada).
Por padrão, quando você instala o Exchange 2007, as comunicações de clientes são criptografadas com SSL quando você usa o Outlook Web Access, o Exchange ActiveSync e o Outlook em Qualquer Lugar. Por padrão, os protocolos POP3 e IMAP4 não estão configurados para se comunicar por SSL.
O SSL exige que você use certificados digitais. Este tópico apresenta uma visão geral dos vários tipos de certificados digitais e das informações sobre como configurar o servidor de Acesso para Cliente para usar esses tipos de certificados digitais.
Visão geral dos certificados digitais
Certificados digitais são arquivos eletrônicos que funcionam como uma senha online para verificar a identidade de um usuário ou computador. Eles são usados para criar o canal criptografado com SSL usado para comunicações de clientes. Um certificado é uma declaração digital emitida por uma autoridade de certificação (CA) que valida a identidade do portador do certificado e permite que as partes se comuniquem de forma segura, usando criptografia.
Os certificados digitais fazem o seguinte:
Eles autenticam que seus portadores—pessoas, sites e até mesmo recursos de rede, como roteadores—realmente são quem ou o quê dizem ser.
Eles protegem os dados trocados online contra roubos ou violações.
Os certificados digitais podem ser emitidos por uma CA de terceiros confiável ou uma infra-estrutura de chave pública (PKI) doMicrosoft Windows(PKI), usando Serviços de Certificado, ou podem ser auto-assinados. Cada tipo de certificado tem vantagens e desvantagens. Cada tipo de certificado digital é inviolável e não pode ser falsificado.
Os certificados podem ser emitidos para vários usos. Entre eles, autenticação de usuário da Web, autenticação de servidor da Web, S/MIME (Secure/Multipurpose Internet Mail Extensions), IPsec (Internet Protocol security), TLS e assinatura de código.
Um certificado contém uma chave pública e a vincula à identidade de uma pessoa, computador ou serviço que contém a chave privada correspondente. As chaves pública e privada são usadas pelo cliente e pelo servidor para criptografar dados antes que sejam transmitidos. Para usuários, computadores e serviços baseados no Microsoft Windows, a confiança em uma CA é estabelecida quando há uma cópia do certificado raiz no armazenamento raiz confiável e o certificado contém um caminho de certificação válido. Para que o certificado seja válido, ele não pode ter sido revogado, nem ter expirado.
Tipos de certificados
Há três tipos principais de certificados digitais: certificados auto-assinados, certificados gerados pela infra-estrutura de chave pública (PKI) do Windows e certificados de terceiros.
Certificados auto-assinados
Quando você instala o Exchange 2007, um certificado auto-assinado é configurado automaticamente. Um certificado auto-assinado é assinado pelo aplicativo que o criou. O assunto e o nome do certificado são correspondentes. O emissor e o assunto são definidos no certificado. Um certificado auto-assinado permite que alguns protocolos de clientes usem SSL em suas comunicações. O Microsoft Exchange ActiveSync e o Office Outlook Web Access podem estabelecer uma conexão SSL com um certificado auto-assinado. O Outlook em Qualquer Lugar não funciona com certificados auto-assinados. Certificados auto-assinados devem ser copiados manualmente para o armazenamento de certificados raiz confiável no computador ou dispositivo móvel cliente. Quando um cliente se conecta a um servidor por SSL e o servidor apresenta um certificado auto-assinado, o cliente deverá verificar se o certificado foi emitido por uma autoridade confiável. O cliente deve confiar explicitamente na autoridade emissora. Se o cliente prosseguir, as comunicações SSL poderão continuar.
Freqüentemente, organizações pequenas decidem não usar um certificado de terceiros ou não instalar seu próprio PKI para emitir seus próprios certificados por causa dos gastos, por falta de experiência e conhecimento de seus administradores para criar uma hierarquia própria de certificados, ou pelos dois motivos. O custo é mínimo e a instalação é simples quando certificados auto-assinados são usados. No entanto, estabelecer uma infra-estrutura para gerenciamento do ciclo de vida, renovação, gerenciamento de confiança e revogação do certificado é muito mais difícil com certificados auto-assinados.
Certificados de infra-estrutura de chave pública do Windows
O segundo tipo de certificado é um certificado gerado pela infra-estrutura de chave pública (PKI) do Windows. Uma PKI é um sistema de certificados digitais, autoridades de certificação e autoridades de registro que verifica e autentica a validade de cada parte envolvida em uma transação eletrônica, usando criptografia de chave pública. Ao implementar uma CA em uma organização que usa o Active Directory, você fornece uma infra-estrutura para gerenciamento do ciclo de vida, renovação, gerenciamento de confiança e revogação do certificado. No entanto, há um custo adicional envolvido na implantação de servidores e infra-estrutura para criar e gerenciar certificados gerados pela infra-estrutura de chave pública (PKI) do Windows.
Os Serviços de Certificados são necessários para implantar uma PKI do Windows, e podem ser instalados em Adicionar ou Remover Programas, no Painel de Controle. Você pode instalar os Serviços de Certificado em qualquer servidor do domínio.
Se você obtiver certificados de uma CA com domínio vinculado ao Windows, poderá usá-la para solicitar ou assinar certificados para emitir para seus próprios servidores ou computadores na rede. Isso permite que você use uma PKI semelhante a um fornecedor terceirizado de certificados, mas é mais barato. Embora esses certificados de PKI não possam ser implantados publicamente, como outros tipos de certificados, quando uma CA de PKI assina o certificado do solicitante usando a chave privada, o solicitante é verificado. A chave pública dessa CA é parte do certificado. Um servidor que possuir este certificado no armazenamento de certificado raiz confiável poderá usar esta chave pública para descriptografar o certificado do solicitante e autenticar o solicitante.
As etapas para implantar um certificado gerado por PKI são parecidas com as etapas necessárias para implantar um certificado auto-assinado. Ainda é preciso instalar uma cópia do certificado raiz confiável da PKI no armazenamento de certificado raiz confiável dos computadores ou dispositivos móveis que devem poder estabelecer uma conexão SSL com o Microsoft Exchange.
Uma PKI do Windows permite que organizações publiquem seus próprios certificados. Os clientes podem solicitar e receber certificados de uma PKI do Windows na rede interna. A PKI do Windows pode renovar ou revogar certificados.
Para obter mais informações, consulte os seguintes tópicos:
Para obter mais informações sobre certificados, consulte Infra-estrutura de chave pública do Windows Server 2003 (página em inglês).
Para obter mais informações sobre práticas recomendadas para implementação de uma PKI do Windows, consulte Práticas recomendadas para implementar uma infra-estrutura de chave pública do Microsoft Windows Server 2003 (página em inglês).
Para obter mais informações sobre como implantar uma PKI baseada em Windows, consulte o Guia de Operações de PKI do Windows Server 2003 (página em inglês).
Certificados de terceiros confiáveis
Certificados comerciais ou de terceiros são aqueles gerados por uma CA comercial ou de terceiros, posteriormente adquiridos para seu uso em servidores de rede. Um problema dos certificados baseados em PKI e auto-assinados é que, por não serem automaticamente confiáveis para o computador cliente ou dispositivo móvel, você deverá importar o certificado para o armazenamento de certificado raiz confiável em computadores cliente e outros dispositivos. Certificados comerciais ou de terceiros não têm esse problema. A maioria dos certificados de CA comerciais já é confiável porque o certificado já reside no armazenamento de certificado raiz confiável. Pelo fato de o emissor ser confiável, o certificado também o é. Usar certificados de terceiros simplifica muito a implantação.
Para organizações grandes ou que precisem implantar certificados publicamente, usar um certificado comercial ou de terceiros é a melhor solução, mesmo incidindo um custo associado ao certificado. Os certificados comerciais podem não ser a melhor solução para organizações pequenas e médias e talvez você decida usar uma das outras opções de certificado disponíveis.
Escolhendo um tipo de certificado
Ao escolher que tipo de certificado instalar, vários fatores devem ser levados em consideração. Para ser válido, um certificado deve ser assinado. Ele pode ser auto-assinado ou assinado por uma CA. Um certificado auto-assinado tem limitações. Por exemplo, nem todos os dispositivos móveis permitem que um usuário instale um certificado digital no armazenamento de certificado raiz confiável. A capacidade de instalar certificados em um dispositivo móvel depende do fabricante e da operadora do dispositivo. Alguns fabricantes e operadoras móveis desabilitam o acesso ao armazenamento de certificado raiz confiável. Neste caso, nem um certificado auto-assinado, nem um certificado de uma CA de PKI do Windows poderão ser instalados no dispositivo móvel.
A maioria dos dispositivos móveis possui vários certificados comerciais de terceiros confiáveis pré-instalados. Para que a experiência do usuário seja ideal, implemente a autenticação baseada em certificado do Exchange ActiveSync, usando dispositivos que estejam executando o Windows Mobile 6.0, e um certificado digital de uma CA de terceiros confiável.
Para obter mais informações
Para obter mais informações, consulte os seguintes tópicos: