Postupy: Použití certifikátů s virtuálních serverů Exchange 2000 Server

Překlady článku Překlady článku
ID článku: 319574 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento podrobný článek popisuje způsob instalace a použití certifikátů pro použití se serverem Exchange 2000.

Exchange 2000 zahrnuje číslo virtuální servery, které jsou zodpovědná za servis příchozí a odchozí připojení číslo standardní služby. Tyto služby jsou:
  • Zaúčtovat Office Protocol verze 3 (POP3)
  • Internet Message Access Protocol verze 4 (IMAP4)
  • Simple Mail Transfer Protocol (SMTP)
  • Network News Transfer Protocol (NNTP)
Můžete nainstalovat certifikáty na těchto virtuálních serverů povolit použití šifrované komunikace.

Poznámka: Exchange 2000 zahrnuje také virtuální server (HYPERTEXT Transfer Protocol). Tento virtuální server se však konfigurovat pomocí Správce služeb sítě Internet. Tento postup v nejsou v tomto článku popsány.

Požadavky

Následující seznam obsahuje doporučený hardware, software, síťovou infrastrukturu a požadované aktualizace Service Pack:
  • Microsoft Windows 2000 Server Service Pack 2 (SP2)
  • Služba Active Directory
  • Exchange 2000 Server Service Pack 1 (SP1)
  • Outlook Express 5 nebo vyšší (pro účely testování)
Tento článek předpokládá znalost následujících témat:
  • Správce systému Exchange
  • TCP/IP
  • Konfigurace a použití programu Sledování sítě Microsoft, včetně nastavení sběrných filtrů.


Co je certifikát?

Certifikát je základ poskytování zabezpečení mezi dvěma stranami přes veřejné sítě. Certifikáty jsou digitálně podepsané příkazy, které obsahují veřejného klíče a název vlastníka nebo předmět certifikátu. Certifikáty jsou také podepsány vydávajícím tělo nebo certifikačního úřadu (CÚ). Pokud CÚ podepíše certifikát, CÚ potvrdí, že je soukromý klíč, který je spojen s veřejný klíč certifikátu v užívání uživatele s názvem v certifikátu.

Certifikáty poskytují mechanismus pro navázání vztahu mezi veřejným klíčem a entity vlastníkem odpovídající soukromý klíč. Většina certifikátů jsou založeny na International Telecommunication Union, X.509 verze 3 standardní Telecommunication standardizace (ITU-T).

Použití certifikátů můžete provádět následující úkoly:
  • Zabezpečení komunikace mezi dvěma uživatelům nebo počítačům zabránit neoprávněným prohlížením přenášených obsahu zprávy nebo souboru.
  • Digitální podepsání elektronické výměně (jako například přenos souborů nebo zprávy) ověřte, že nebyl změněn na cestě.
  • Ověření jednotlivce nebo identity počítače.
  • Šifrování dat obsažených v systému úložiště, například na pevném disku nebo pásky.
  • Certifikační, soubor například ovladač zařízení byl schválen a nebyla mezi procesu testování a instalaci změněna.
Certifikáty obvykle používají příponu CER a mají stejné vlastnosti jako další soubory v počítači. Certifikáty jsou obvykle umístěny v úložišti certifikátů v počítači. Systém Windows 2000 zahrnuje certifikáty z číslo veřejné X.509 verze 3 CÚ, například VeriSign, Thawte a SecureNet. Windows 2000 má také předdefinované X.509 verze 3 vyhovující Certificate Server služby, které umožňuje vytvořit vlastní CÚ a distribuovat certifikáty pro použití v organizaci a externím klientům nebo počítačů. Tato funkce poskytuje flexibilitu při zavádění certifikátů.

Jak používat certifikáty s virtuálních serverů

Tato část je poskytován pochopit, proč je vhodné použít certifikáty s virtuální servery.

Zaúčtovat Office Protocol verze 3 virtuálních serverů a virtuálních serverů Internet Message Access Protocol verze 4

Virtuální servery POP3 a IMAP4 virtuální servery poskytují služby nezbytné pro získání e-mailových zpráv z počítače Exchange 2000 klientům nebo IMAP4 klienta, jako je například Microsoft Outlook Express. Chcete použít POP3 nebo IMAP4 získání e-mailové zprávy ze serveru Exchange 2000, pokud jsou velmi pomalé rychlosti připojení a uživatelé vyžadují úplnou funkčnost programu klienta Outlook.

Protokoly POP3 a IMAP4 však použít prostého textu pro odesílání zpráv a pro ověřování. Pokud přidání certifikátu virtuální servery POP3 nebo IMAP4 virtuální servery nabízejí šifrování protokol SSL (Secure Sockets Layer) (SSL) a ujistěte se, že obě ověřování posloupnosti a zpráva textová pole jsou zašifrovány v rámci tranzitní přes veřejné sítě.

Simple Mail Transfer Protocol virtuálních serverů

Virtuální servery SMTP poskytují následující služby na své vlastní nebo ve spojení s konektor SMTP:
  • Kolekce pošty a doručení do a z externích serverů SMTP.
  • Směrování mezi Exchange Server skupin směrování pošty.
  • Příjem pošty z klientů POP3 nebo IMAP4.
Tyto požadavky mohou být vylučují; jedná, protože nelze konfigurovat virtuální server SMTP, který odesílá a přijímá poštu z externích doménách a prostřednictvím služby konektor Exchange SMTP používat šifrování SSL. Většina serverů SMTP na Internetu nepodporují SSL. Však Pokud použít SMTP jako mechanismus doručování zprávy pro POP3 a IMAP4 e-mail, musí šifrovat tyto transakce zejména pokud jste již nakonfigurovali SSL pro POP3 nebo IMAP4 kolekce proces zprávu elektronické pošty.

Společnost Microsoft doporučuje vytvořit samostatné virtuální servery SMTP, jeden pro použití s Exchange Server skupin směrování a jeden pro doručování zpráv elektronické pošty POP3 a IMAP4 a konfigurovat i virtuální server s certifikáty a SSL. Po tak učiníte, můžete použít výchozí virtuální server SMTP připojte do externích domén prostřednictvím konektor SMTP.

Protokol Hypertext virtuálních serverů

Obvykle používají certifikáty s virtuální servery (HYPERTEXT Transfer Protocol) poskytuje podporu pro uživatele, kteří získat jejich e-mailové zprávy prostřednictvím služby Microsoft Outlook Web Access (OWA). Pro tento účel může být nejvhodnější výrobců certifikát získat. Pomocí certifikátu výrobců mohou uživatelé připojit k poštovním schránkám z veřejných počítačů, například v stánků nebo Internet cafes.

Příspěvky protokol virtuálních serverů v síti

Použití certifikátů s virtuální servery NNTP, pokud jsou splněny následující podmínky:
  • Máte klientům připojení k veřejné složky Exchange 2000 pomocí NNTP.
  • NNTP se používají k replikaci veřejných složek mezi organizacemi.
Obvykle připojení k serverům diskusních skupin USENET nepodporují šifrování nebo ověřování, proto pokud s NNTP používat certifikáty, musíte vytvořit druhý virtuální server NNTP pro tento účel.

Jak vybrat zdroj certifikátu

Získat certifikáty používají virtuální servery, máte tři možnosti:
  • Nákup jednotlivé certifikáty z externí CÚ
  • Stát podřízený certifikační ÚŘAD externí CÚ
  • Můžete implementovat a udržovat vlastní kořenový CÚ struktury
Můžete mít tyto přístupy kombinovat, například vytvoření vlastní struktury CÚ a nákupních jednotlivé certifikáty z externí CÚ.

Jak nákupní certifikáty od externí certifikační

Pro certifikáty, které jsou ověřovány pomocí kořenové certifikáty, které jsou nainstalovány se systémem Windows 2000 můžete použít externí CÚ jako je například VeriSign nebo Thawte. Nákup jednotlivé certifikáty z externí CÚ, pokud jsou splněny následující podmínky:
  • Chcete-li zabezpečené připojení poskytují uživatelům obecné Internetu (například jako v prostředí e-commerce).
  • Chcete-li podporu uživatelů, kteří mají připojit z veřejných počítačů, například v stánků nebo Internet cafes.
  • Nemůžete nebo nechcete podporují prostředí CÚ.
Náklady certifikát obvykle začíná na přibližně $ 600 (US měna), který převede nejlevnější metoda právě jeden certifikát získat. Například pokud nákupní certifikát tímto způsobem zaměstnanci lze bezpečně připojit k jejich poštovní schránky z jakéhokoli počítače se systémem Windows a aplikace Internet Explorer 4.0 nebo vyšší.

Jak stane podřízený certifikační úřad k externí certifikační

Chcete-li dokončit tento postup, je nastavit sami jako podřízený certifikační ÚŘAD, který je certifikován externí CÚ. To znamená, že můžete vydat více certifikátů, které jsou důvěryhodné, protože jsou propojeny se certifikáty veřejně k dispozici namísto každý certifikát zakoupit samostatně. Však stále nutné udržovat vlastní struktury CÚ; proces schvalování vyžaduje tři až šesti měsíců a náklady minimálně 50 000 Kč (US měna). Microsoft je například podřízený certifikační ÚŘAD VeriSign certifikován.

Zvažte stala podřízený certifikační ÚŘAD, pokud jsou splněny následující podmínky:
  • Chcete například poskytnout velký počet certifikátů veřejně k dispozici pro podpis kódu ovladače zařízení.
  • Můžete poskytnout odborné znalosti a podporu implementovat a spravovat podřízený certifikační ÚŘAD.
  • Chcete volnost vytvářet, spravovat a odvolat certifikáty veřejně použitelné.

Jak provést a správa vlastních struktura kořenový certifikační úřad

Vytvořit vlastní kořenový CÚ strukturu, pokud jsou splněny následující podmínky:
  • Vytvoření efektivní a spolehlivý kořenový certifikační ÚŘAD a mít vybavení učinit.
  • Poskytovat připojení pouze uživatelům ve vlastní organizaci nebo omezený počet externím klientům, zákazníky nebo počítačů.
  • Použití certifikátů k identifikaci jednotlivce přidružením certifikát s konkrétní přihlašovací účet.
  • Chcete maximální volnost a pružnost vytvořit, přiřazení a odvolat certifikáty bez odkazu žádné externí organizace.
Pokud implementovat a udržovat strukturu CÚ (nikoli trivial operace) vyžaduje počítačů, které vydávat a spravovat certifikáty musí být vždy k dispozici. Další informace o instalaci a konfiguraci certifikátů serveru naleznete v nápovědě systému Windows 2000 a Microsoft Windows 2000 Server Resource Kit.

Tyto přístupy můžete kombinovat, například pro vaše veřejné obchodování webu použít externí CÚ a použít vlastní CÚ ověřit vaše zaměstnance identit při připojení k počítači Exchange Server prostřednictvím služby Internetu.

Po získání certifikátu nebo nastavit vaše CÚ, musíte nainstalovat certifikátů na virtuálních serverech Exchange Server. Tento postup je obvykle stejné pro všechny typy serveru kromě virtuální server HTTP. Instalace certifikátů na virtuálních serverech POP3, IMAP4, SMTP a NNTP pomocí správce systému Exchange. Chcete-li konfigurovat virtuální servery HTTP, použijte Správce služby Internet (Tento postup není popsán v tomto článku).

Jak lze vyžádat certifikát od externí certifikační

Tento postup popisuje způsob instalace certifikátů z externí CÚ v situaci, kde musí být žádosti o certifikát připraven a odeslána externí CÚ. Soubor certifikátu v samostatných sekvence musí zpracovat.

Poznámka: následující postup platí pouze protokoly POP3, IMAP4, SMTP a NNTP. Tento článek nepopisuje postup konfigurace HTTP SSL.
  1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Microsoft Exchange a pak klepněte na položku System Manager.
  2. V levém podokně Exchange System Manager poklepejte na servery.
  3. Klepněte Exchange Server počítač, který chcete konfigurovat a potom poklepejte na kontejner protokoly.
  4. Každý konfigurovat protokol poklepejte na příslušný objekt.
  5. Klepněte pravým tlačítkem myši na objekt Výchozí virtuální server (protokol název) a potom klepněte na příkaz Vlastnosti.
  6. Klepněte na kartu přístup a klepněte na tlačítko certifikát.
  7. Po spuštění Průvodce certifikátem služby IIS klepněte na tlačítko vytvořit nový certifikát a potom klepněte na tlačítko Další.
  8. Klepněte na tlačítko Připravit žádost nyní, ale odeslat ji později a potom klepněte na tlačítko Další.
  9. Buď přiřadit odpovídající název certifikátu nebo přijmout výchozí nastavení (Název protokol) výchozí virtuální server, vyberte délku bit a potom klepněte na tlačítko Další. Poznámka: déle délky klíčů ovlivňuje výkon (který může být dražší).

  10. Zadejte organizace a informace organizační jednotky chcete požádat o certifikát CÚ a potom klepněte na tlačítko Další. Tato informace je obvykle k dispozici z CÚ webu nebo odesílání informací vám při registraci s CÚ.

  11. Zadejte běžný název webu a klepněte na tlačítko Další. Poznámka: Pokud chcete povolit přístup z Internetu tento název musí být externě přeložitelných plně kvalifikovaný název domény (FQDN), která mapuje adresu protokolu IP, který je spojen s virtuální server.

  12. Na stránce Geografické informace zadejte Země, stát nebo provincie a Město a místo informace jako vhodné pro organizaci a potom klepněte na tlačítko Další.
  13. Zadejte název a cestu k umístění, ve kterém chcete vytvořit certifikát nebo přijměte výchozí název souboru a potom klepněte na tlačítko Další.
  14. Prostudujte si informace na stránce Přehled požadavku soubor a klepněte na tlačítko Další.
  15. Poslední stránku potvrzuje vytvořen certifikát s zadaný název souboru. Výchozí nastavení je drive name: \certreq.txt.
  16. Klepněte na tlačítko Dokončit.

Jak nainstalovat certifikát z externí certifikační

Odeslat soubor žádosti o certifikát, kterou jste vytvořili v předchozí části CA. také, vaše CÚ může mít rozhraní založených na webu, který umožňuje odeslání žádosti o certifikát. Obdržíte soubor má příponu CER. Po přijetí tohoto souboru restartujte Průvodce certifikát nainstalovat tento certifikát.
  1. Na virtuálním serveru, který jste použili v předchozí části klepněte na tlačítko Vlastnosti, klepněte na kartu přístup a klepněte na tlačítko certifikát.
  2. Po restartování průvodce certifikátu a obdržíte upozornění, že máte čekající žádosti o certifikát, klepněte na tlačítko Další.
  3. Na stránky Čekající žádost o certifikát klepněte na proces čekající žádosti a instalace certifikátu a klepněte na tlačítko Další.
  4. V procesu čekající žádosti zadejte cestu k certifikátu, který jste obdrželi od externí CÚ.
  5. Zkontrolujte stránku Souhrn certifikátu a klepněte na tlačítko Další.

    Informace obsažené v certifikátu, který obsahuje, který vydal certifikát, když vyprší platnost certifikátu, jaký certifikát je použit pro a popisný název certifikátu jsou zobrazeny na stránce Souhrn certifikátu.
  6. Obdržíte upozornění, že je certifikát úspěšně nainstalována na virtuálním serveru, klepněte na tlačítko Dokončit.

Jak nainstalovat certifikát z Microsoft Certificate Server

Pokud jste nainstalovali serveru certifikační služby systému Windows 2000 jako kořenový certifikační ÚŘAD nebo jako podřízený certifikační ÚŘAD, můžete odeslat požadavek serveru certifikát CÚ online přímo.

Poznámka: je možné pouze odeslat požadavek online CÚ Pokud nainstalovali CÚ ve službě Active Directory jako CÚ, rozlehlé namísto jako samostatný CÚ.
  1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Microsoft Exchange a pak klepněte na položku System Manager.
  2. V levém podokně Exchange System Manager poklepejte na servery.
  3. Vyberte Exchange Server počítače, který chcete konfigurovat a potom poklepejte na kontejner protokoly.
  4. Každý konfigurovat protokol poklepejte na příslušný objekt.
  5. Klepněte pravým tlačítkem myši na objekt Výchozí virtuální server (protokol název) a potom klepněte na příkaz Vlastnosti.
  6. Klepněte na kartu přístup a klepněte na tlačítko certifikát
  7. Po spuštění Průvodce certifikátem služby IIS klepněte na tlačítko vytvořit nový certifikát a potom klepněte na tlačítko Další.
  8. Na stránce Opožděná nebo okamžitá žádost klepněte na tlačítko Odeslat požadavek na certifikačního úřadu online okamžitě a potom klepněte na tlačítko Další.
  9. Přiřadit odpovídající název identifikovat tento certifikát nebo přijměte výchozí název (Název protokol) výchozí virtuální server, klepněte na tlačítko vhodná bitová délka a potom klepněte na tlačítko Další.

    Poznámka: délky klíčů déle nepříznivě ovlivnit výkon.
  10. Zadejte organizace a organizační jednotky informace pro váš server a potom klepněte na tlačítko Další.
  11. Zadejte běžný název webu a potom klepněte na tlačítko Další. Shoduje se úplný doménový název DNS (FQDN), který mapuje na adresu IP odpovídající protokol virtuální server, je použití tohoto certifikátu. Pokud jsou uživatelé připojují k virtuálnímu serveru z Internetu, musí být tento název externě přeložitelných FQDN.

  12. Na stránce Geografické informace zadat Země, stát nebo provincie a Město a místo informace je vhodné pro certifikační úřad a potom klepněte na tlačítko Další.
  13. Na stránce Zvolte certifikační úřad zkontrolujte online ÚŘADU vaší organizace a potom klepněte na tlačítko Další.
  14. Zkontrolujte podrobnosti, které jste zadali v Průvodci na stránce Certificate Request odeslání a pak klepněte na tlačítko Další. Poslední stránku potvrzuje, že je na virtuálním serveru, které jste vybrali nainstalován certifikát.

  15. Klepněte na tlačítko Dokončit.

Jak vynutit zabezpečená komunikace

Po instalaci certifikátu můžete vynutit zabezpečené komunikace protokoly POP3, IMAP4 a SMTP.

Poznámka: není mají nastavení vynutit zabezpečené komunikace provádí protokol the NNTP.
  1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Microsoft Exchange a pak klepněte na položku System Manager.
  2. V levém podokně Exchange System Manager poklepejte na servery.
  3. Klepněte Exchange Server počítač, který chcete konfigurovat a potom poklepejte na kontejner protokoly.
  4. Každý vynutit zabezpečení protokol poklepejte na příslušný objekt.
  5. Klepněte pravým tlačítkem myši na objekt Výchozí virtuální server (protokol název) a potom klepněte na příkaz Vlastnosti.
  6. Klepněte na kartu přístup a klepněte na tlačítko komunikace.
  7. Klepněte na políčko Vyžadovat zabezpečený kanál. Navíc můžete klepnutím políčko Vyžadovat 128bitové šifrování. Uvědomte si však Exchange Server počítači a klientské počítače, připojit se musí podporují 128bitové šifrování.

  8. Klepněte na tlačítko OK a potom klepněte na tlačítko OK přijmete změny a zavřete vlastnosti virtuálního serveru.

Jak lze potvrdit, zda váš certifikát instalaci správně

Potvrďte, že virtuální server používá SSL šifrování a instalaci certifikátu správně, nakonfigurujte připojení pomocí zabezpečeného kanálu a pomocí programu Sledování sítě ověřit pakety protokolu zašifrovány.
  1. V aplikaci Microsoft Outlook Express klepněte v nabídce Nástroje na příkaz účty.
  2. Klepněte na kartu Pošta (pro POP3, IMAP4 nebo SMTP) nebo klepnutím kartu Příspěvky (NNTP).
  3. Poklepejte na účet Exchange Server příslušný protokol a klepněte na kartu Upřesnit.
  4. Klepnutím zaškrtněte políčko Tento server požaduje zabezpečené připojení (SSL). Pokud toto políčko POP3 portu číslo změny z 110 číslo 995, IMAP4 port změní z 143 993, NNTP port změní z 119 563 a zůstane portu SMTP na portu 25.

  5. Klepněte na tlačítko OK zavřete okno vlastností účtu a klepněte na příkaz Zavřít se vrátíte do aplikace Outlook Express.
  6. Spustit sledování sítě sběr a připojit k počítači Exchange Server pomocí účtu, který jste právě nastavili. Prozkoumejte pakety si všimněte pakety protokolu, které jste nakonfigurovali zabezpečení zašifrovány.

Odstraňování potíží

Pokud používáte vlastní kořenový certifikační ÚŘAD nebo máte podřízený certifikační ÚŘAD, Všimněte si, že pokud prostředí Certificate Server neodpovídá, může dojít ke ztrátě všech aktuálně vystavené certifikáty a seznamu odvolaných certifikátů. Pokud ztratíte certifikáty a seznam odvolaných certifikátů, se klienti nelze zabezpečené připojení protokolu virtuální servery, které nakonfigurovány tyto certifikáty. Proto je důležité rozhodnout zda implementovat vlastní CÚ.

Odkazy

Další informace o certifikátu serveru v tématu Microsoft Windows 2000 Server Resource Kit a Microsoft Exchange 2000 Server Resource Kit.

Produkty jiných výrobců popisované v tomto článku vyrábějí společnosti, které jsou nezávislé na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.


Vlastnosti

ID článku: 319574 - Poslední aktualizace: 28. února 2007 - Revize: 1.5
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Exchange 2000 Server Standard Edition
Klíčová slova: 
kbmt kbhowto kbhowtomaster KB319574 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:319574

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com