Включение инфраструктуры открытых ключей на пограничном транспортном сервере для безопасности домена
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2009-12-02
Безопасность домена основана на общем протоколе TLS, применяемом при проверке подлинности. Успех проверки подлинности с применением общего протокола TLS основан на надежной, проверенной системе сертификатов X.509, применяемой в сертификатах протокола TLS , который применятся в обеспечении безопасности домена.
Тем не менее, прежде чем успешно развернуть безопасность домена, необходимо настроить пограничный транспортный сервер и инфраструктуры открытого ключа, чтобы совместить надежные и проверенные сертификаты.
Важно!
В задачу этого раздела не входит подробное рассмотрение вопросов криптографии и технологий и идей сертификации. Перед развертыванием любого решения безопасности, которое использует криптографию и сертификаты X.509, рекомендуется познакомиться с основными концепциями надежности, проверки подлинности, шифрования и обмена открытым и закрытым ключами, и как эти идеи соотносятся с проблемами криптографии. Дополнительные сведения см. в ссылках, помещенных в конце этого раздела.
Конфигурирование корневых центров сертификации
Чтобы подтвердить данный сертификат X.509, вы должны доверять корневому центру сертификации (CA), который выпустил это сертификат. Корневой центр сертификации является наиболее надежным центром сертификации и занимает высшее положение в иерархии ЦС. Корневой CA имеет самозаверенный сертификат. Когда вы работаете с приложением, в отношении которого имеется положение о проверке подлинности сертификата, каждый сертификат должен быть звеном цепи сертификатов, которая оканчивается сертификатом в надежном корневом контейнере локального компьютера. Надежный корневой контейнер содержит сертификат корневого центра сертификации.
Чтобы успешно отправлять электронную почту с безопасным доменом, необходимо иметь возможность подтверждать получение сертификата X.509 сервера. Подобным образом, при отправке электронной почты с безопасным доменом в вашу организацию отправляющий сервер должен иметь возможность подтверждения вашего сертификата.
Существует два типа надежных корневых центров сертификации, которые могут быть использованы применительно к безопасному серверу: Встроенные корневые центры сертификации стороннего производителя и частные корневые центры сертификации.
Встроенные корневые центры сертификации стороннего производителя
Microsoft Windows включает набор встроенных корневых центров сертификации стороннего производителя. Если вы доверяете сертификатам, выпущенным этим корневым центром сертификации стороннего производителя, это означает, что вы можете проверить сертификаты, выпущенные этим центром сертификации. Если ваша организация и ваши партнерские организации используют установку Windows по умолчанию и доверяют встроенным корневым центрам сертификации стороннего производителя, в этом случает надежность является автоматической. В этом сценарии дополнительная настройка надежности не требуется.
Частные надежные корневые центры сертификации
Частный надежный корневой центр сертификации является корневым CA, который был развернут в соответствии с частной или внутренней инфраструктурой открытого ключа. Например, если ваша организация или организация, с которой вы используете одну систему электронную почту с безопасным доменом, развернула внутреннюю инфраструктуру открытого ключа со своим собственным корневым сертификатом, вы должны выполнить дополнительные настройки надежности.
Когда используется частный корневой CA, вы должны обновить надежное корневое хранилище сертификата Windows на пограничном транспортном сервере для правильного функционирования безопасности домена.
Существует два способа настройки надежности: прямая корневая надежность и перекрестная сертификация. Важно понимать, что всякий раз, когда служба транспорта выбирает сертификат, она подтверждает этот сертификат, прежде чем использовать его. Поэтому если вы используете частный корневой ЦС для выпуска своих сертификатов, вы должны включить это частный корневой ЦС в надежном корневом хранилище сертификата на каждом пограничном транспортном сервере, который отправляет или получает электронную почту с безопасным доменом.
Прямая корневая надежность
Если вам нужно подтвердить надежность сертификата, выпущенного частным корневым центром сертификации, вы можете вручную добавить этот корневой сертификат в надежное корневое хранилище сертификатов на пограничном транспортном сервере компьютера. Дополнительные сведения о том, как добавить вручную сертификаты в локальное хранилище сертификатов, см. в файле справки для оснастки диспетчера сертификатов в среде управления Microsoft.
Перекрестная сертификация
Перекрестная сертификация предполагает, что один CA подписывает сертификат, который создан другим CA. Перекрестная сертификация используется при построении надежности из одной инфраструктуры открытого ключа с другой. В контексте безопасности домена, если у вас есть собственная инфраструктура открытого ключа, вместо использования прямого ручного подтверждения надежности для корневого центра партнера с внутренней инфраструктурой открытого ключа, вы можете создать перекрестную сертификацию для CA партнера под вашим корневым центром. В этом случае, надежность устанавливается потому, что конечные звенья перекрестной сертификации возвращаются в ваш надежный корень.
Необходимо понимать, что если у вас есть внутренняя инфраструктура открытого ключа и при этом используется перекрестная сертификация, вы должны вручную обновить хранилище корневого сертификата на пограничном транспортном сервере, который получает электронную почту с безопасным доменом, чтобы каждый из этих пограничных транспортных серверов мог подтверждать сертификаты, когда они получают электронную посту от партнеров, которые являются надежными в отношении перекрестных сертификатов.
Дополнительные сведения о том, как вручную добавить сертификаты в локальное хранилище сертификатов, см. файл справки для оснастки диспетчера сертификатов в среде управления Exchange.
Настройка доступа к списку отзыва сертификата
Всякий раз когда служба транспорта получает сертификат, она подтверждает звено сертификата и сам сертификат. Подтверждение сертификата это процесс, в котором подтверждается множество атрибуты сертификата. Большая часть этих атрибутов может быть подтверждена на локальном компьютере приложением, которое запрашивает сертификат. Например, планируемое использование сертификата, дата окончания срока действия сертификата и другие подобные атрибуты подтверждаются вне контекста инфраструктура открытого ключа. Однако проверка того, что сертификат был отозван, может быть подтверждена центром сертификации, который выпустил этот сертификат. Поэтому многие центры сертификации создают список отзыва сертификата с открытым доступом для подтверждения статуса отзыва.
Чтобы успешно применять безопасность домена, списки отзыва сертификатов для центров сертификации, которые используются вами и вашими партнерами, должны быть доступны для пограничных транспортных серверов, которые отправляют и получают электронную почту с безопасным доменом. Если произошла ошибка проверки на отзыв сертификата, получающий сервер Exchange выпускает временный протокол отклонения данного сообщения. Могут возникать временные ошибки проверки на отзыв. Например, может произойти ошибка веб-сервера, который используется для публикации списка отзыва сертификатов. Ошибку проверки на отозвание может вызвать обычный сбой сетевого соединения между пограничным транспортным сервером и пунктом рассылки списка отзыва сертификатов. Поэтому временные ошибки отзыва могут вызвать только временную задержку доставки почты, так как отправляющий сервер позже повторит попытку отправки. Тем не менее подтверждение списка отзыва сертификатов необходимо для успешного передачи электронной почты с безопасным доменом.
Необходимо включить следующие сценарии.
- Ваши пограничные транспортные серверы должны иметь доступ к спискам отзыва сертификатов для внешних ЦС Каждый партнер, с которым вы обмениваетесь электронной почтой с безопасным доменом, должен иметь в открытом доступе списки отзыва сертификатов, с которыми пограничный транспортный сервер вашей организации может иметь контакт. В некоторых случаях, списки отзыва сертификатов доступны только по протоколу LDAP. В большинстве случаев при использовании общедоступных центров сертификации списки отзыва сертификатов публикуются по протоколу HTTP. Убедитесь в том, что соответствующие исходящие порты и прокси-серверы сконфигурированы таким образом, чтобы пограничный транспортный сервер мог контактировать со списком отзыва сертификатов. Чтобы узнать, какой протокол принимает конкретная точка распространения списков отзыва сертификатов, откройте сертификат в консоли управления MMC и обратите внимание на поле Точки распространения списков отзыва (CRL).
- Вы должны создать список отзыва сертификатов для центра сертификации, который выпускает ваши сертификаты в открытом доступе Необходимо понимать, что даже если пограничный транспортный сервер получает сертификат от собственной организации, он подтверждает это звено сертификата, чтобы подтвердить сам сертификат. Поэтому список отзыва сертификатов для вашего CA должен быть доступен для ваших собственных пограничных транспортных серверов. Кроме того, все партнеры, с которыми вы обмениваетесь электронной почтой с безопасным доменом, должны иметь доступ к этому списку отзыва сертификатов для CA, который выпускает ваши сертификаты.
Настройка параметров прокси-сервера для служб WinHTTP
Для управления всем трафиком HTTP и HTTPS транспортные серверы Exchange 2010 используют службы Microsoft Windows HTTP (WinHTTP). И транспортные серверы-концентраторы, и пограничные транспортные серверы могут использовать протокол HTTP для доступа к стандартным обновлениям фильтра нежелательной почты Microsoft Exchange 2010 и обновлениям для проверки списка отзыва сертификатов.
Дополнительные сведения см. в разделе Настройка параметров прокси-сервера для служб WinHTTP.
Тестирование конфигурации инфраструктуры открытого ключа и прокси-сервера
Чтобы протестировать конфигурацию инфраструктуры открытого ключа и прокси-сервера для конкретного пограничного транспортного сервера, проверьте цепочку сертификатов для сертификата пограничного транспортного сервера с помощью программы Certutil.exe. Certutil.exe — это средство командной строки, которое устанавливается вместе со службами сертификатов в операционных системах Windows Server 2008. Дополнительные сведения см. в разделе Проверка инфраструктуры открытого ключа и конфигурации прокси-сервера.