Поделиться через

Функции TLS и связанные термины в Exchange 2010

  • Статья

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2009-11-25

Microsoft Exchange Server 2010 предоставляет административные функции и другие усовершенствования, которые улучшают управление протоколом TLS (Transport Layer Security). Для работы с ними важно знать о некоторых возможностях и функциях, связанных с TLS. Некоторые термины и понятия относятся к нескольким возможностям, связанным с TLS. В этом разделе содержатся краткие описания каждой функции, которые позволят понять некоторые различия и общие термины, связанные с TLS и безопасностью домена.

  • **Протокол TLS   **TLS — это стандартный протокол, который используется для защиты веб-соединений в Интернете или интрасетях. Он позволяет клиентам выполнять проверку подлинности серверов, а серверам — проверку подлинности клиентов (при необходимости). Этот протокол также обеспечивает защищенный канал путем шифрования передаваемых данных. Протокол TLS является более последней версией протокола SSL.
  • Mutual TLS   Применение протокола Mutual TLS для проверки подлинности отличается от обычного развертывания TLS. Обычно при развертывании протокола TLS он используется только для обеспечения конфиденциальности с помощью шифрования. Между отправителем и получателем не выполняется проверка подлинности. Кроме того, иногда при развертывании TLS выполняется проверка подлинности только принимающего сервера. Это обычно происходит при реализации TLS для HTTP. В таком случае (когда выполняется проверка только принимающего сервера) используется SSL.
    При использовании проверки подлинности Mutual TLS каждый сервер проверяет идентификатор другого сервера путем проверки подлинности сертификата, предоставленного другой стороной. В этом случае, то есть когда в среде Exchange 2010 от внешних доменов поступают переданные через проверенные соединения сообщения, в Microsoft Outlook отображается значок «Защищено на уровне домена».
  • Безопасность домена.   Безопасность домена — это набор возможностей, таких как управление сертификатами, функции соединителей и поведение клиента Outlook, который обеспечивает управляемость и полезность технологии Mutual TLS.
  • Гибкий TLS   В предыдущих версиях Exchange протокол TLS требовалось настраивать вручную. Кроме того, была обязательна установка допустимого сертификата, поддерживающего TLS, на сервер под управлением Exchange. В Exchange 2010 программа установки создает самозаверяющий сертификат. По умолчанию протокол TLS включен. Это позволяет любой системе, отправляющей данные, шифровать входящий сеанс SMTP с сервером Exchange. По умолчанию сервер Exchange 2010 также пытается использовать протокол TLS для всех удаленных подключений.
  • Прямое доверие.   По умолчанию весь трафик между пограничными транспортными серверами и транспортными серверами-концентраторами проходит проверку подлинности и шифруется. В качестве механизма проверки подлинности и шифрования используется Mutual TLS. Вместо проверки X.509 для проверки подлинности сертификатов в Exchange 2010 используется прямое доверие. Прямое доверие означает, что наличие сертификата в Active Directory или службах облегченного доступа к каталогам Active Directory (AD LDS) подтверждает подлинность сертификата. Active Directory считается доверенным механизмом хранения. Если используется прямое доверие, не имеет значения, применяется ли самозаверяющий сертификат или же сертификат, подписанный центром сертификации. При подписке пограничного транспортного сервера на организацию Exchange пограничная подписка публикует сертификат пограничного транспортного сервера в Active Directory для проверки транспортными серверами-концентраторами. Служба Microsoft Exchange EdgeSync обновляет службы облегченного доступа к каталогам с помощью набора сертификатов транспортного сервера-концентратора, чтобы пограничный транспортный сервер проверил их.