Cómo: Utilizar certificados con servidores virtuales de Exchange 2000 Server

Seleccione idioma Seleccione idioma
Id. de artículo: 319574 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo paso a paso describe cómo instalar y utilizar certificados para su uso con Exchange 2000.

Exchange 2000 incorpora un número de servidores virtuales que son responsables de atender conexiones entrantes y salientes para un número de servicios de Internet estándar. Estos servicios son:
  • Protocolo de oficina de correos versión 3 (POP3)
  • Protocolo de acceso de mensajes de Internet versión 4 (IMAP4)
  • Protocolo simple de transferencia de correo (SMTP)
  • Protocolo de transferencia de noticias de red (NNTP)
Puede instalar certificados en estos servidores virtuales para permitir el uso de comunicación cifrada.

Nota : Exchange 2000 también incluye un servidor virtual de transferencia de hipertexto (HTTP). Sin embargo, configurar este servidor virtual mediante el Administrador de servicios de Internet. Este procedimiento en no descrito en este artículo.

Requisitos

En la lista siguiente se describe el hardware, el software, la infraestructura de red y los service pack recomendados que se necesitarán:
  • Microsoft Windows 2000 Server con Service Pack 2 (SP2)
  • Active Directory
  • Exchange 2000 Server con Service Pack 1 (SP1)
  • Microsoft Outlook Express 5 o posterior (para pruebas)
En este artículo se supone que está familiarizado con los temas siguientes:
  • Administrador del sistema de Exchange
  • TCP/IP
  • Configurar y utilizar el Monitor de red de Microsoft, incluyendo la configuración de filtros de captura.


¿Qué es un certificado?

Un certificado es la base de proporcionar seguridad entre dos partes sobre redes públicas. Los certificados son instrucciones firmadas digitalmente que contienen una clave pública y el nombre del propietario o del sujeto del certificado. Los certificados también están firmados por el cuerpo de CA o la entidad emisora de certificados (CA). Si la entidad emisora firma el certificado, la entidad emisora Confirma que la clave privada que está asociada con clave pública del certificado está en posesión del usuario designado en el certificado.

Los certificados proporcionan un mecanismo para establecer una relación entre una clave pública y la entidad que posee la clave privada correspondiente. La mayoría de los certificados se basan en el International Telecommunication Union, sector de estandarización de telecomunicaciones (ITU-T) X.509 versión 3 estándar.

Puede utilizar certificados para realizar las tareas siguientes:
  • Proteger las comunicaciones entre dos usuarios o equipos para impedir ver el contenido transmitido de mensaje o archivo no autorizado.
  • Firmar digitalmente un intercambio electrónico (como una transferencia de archivo o mensaje) para comprobar que no se ha cambiado en tránsito.
  • Comprobar un individuo o identidad del equipo.
  • Cifrar datos contenidos en un sistema de almacenamiento, como en un disco duro o una cinta.
  • Certificar que un archivo como un controlador de dispositivo se ha aprobado y no se ha cambiado entre el proceso de pruebas e instalación.
Normalmente, los certificados utilizan la extensión .cer y tienen las mismas propiedades que otros archivos en el equipo. Normalmente, los certificados residen en almacenes de certificados en el equipo. Windows 2000 incluye los certificados de un número de versión 3 de X.509 públicas CA, como VeriSign, Thawte y SecureNet. Windows 2000 tiene también un integrados X.509 versión 3 compatible Certificate Server servicio, que le permite crear su propia entidad emisora y distribuir certificados para su uso en su organización y los clientes externos o equipos. Esta funcionalidad aporta flexibilidad cuando implementar certificados.

Cómo utilizar certificados con servidores virtuales

Esta sección se proporciona para ayudarle a comprender por qué quizás desee usar certificados con los servidores virtuales.

Servidores de virtuales de protocolo de oficina de correos versión 3 y servidores virtuales de protocolo de acceso de mensajes de Internet versión 4

Los servidores virtuales POP3 y los servidores virtuales IMAP4 proporcionan los servicios necesarios para los clientes POP3 o cliente IMAP4 como Microsoft Outlook Express para obtener mensajes de correo electrónico desde su equipo Exchange 2000. Quizás desee utilice POP3 o IMAP4 para obtener mensajes de correo electrónico de Exchange 2000 si velocidades de conexión son muy lentas y los usuarios no requieren la funcionalidad completa del programa de cliente de Outlook.

Sin embargo, los protocolos POP3 e IMAP4 utilizar texto sin cifrar para enviar mensajes y para la autenticación. Si agrega un certificado a los servidores virtuales de IMAP4 o servidores virtuales POP3, puede ofrecer el cifrado Secure Sockets Layer (SSL) y asegúrese de que tanto las autenticación secuencia y el mensaje cuerpos se cifran en tránsito a través de redes públicas.

Servidores virtuales de protocolo de transferencia de correo simple

Servidores virtuales SMTP proporcionan los servicios siguientes, en sus propios o junto con un conector SMTP:
  • Colección de correo y entrega a y desde servidores SMTP externos.
  • Enrutamiento entre grupos de enrutamiento de servidores de correo.
  • Recibiendo correo de clientes POP3 o IMAP4.
Estos requisitos pueden ser mutuamente excluyentes; es porque no se puede configurar el servidor virtual SMTP que envía y recibe correo hacia y desde dominios externos mediante el conector SMTP de Exchange para utilizar el cifrado SSL. La mayoría de los servidores SMTP de Internet no es compatible con SSL. Sin embargo, si utiliza SMTP como el mecanismo de entrega de un mensaje de correo electrónico POP3 e IMAP4, debe cifrar estas transacciones, especialmente si ya ha configurado SSL para el proceso de colección de mensaje de correo electrónico POP3 o IMAP4.

Microsoft recomienda que cree independiente servidores virtuales SMTP, uno para utilizar con grupos de enrutamiento de Exchange Server y otro para la entrega de mensaje de correo electrónico POP3 e IMAP4, y que configure ambos servidor virtual con certificados y SSL. Después de hacerlo, puede utilizar el servidor virtual SMTP para conectarse a dominios externos por medio del conector SMTP.

Servidores virtuales de protocolo de transferencia de hipertexto

Normalmente, se utiliza certificados con servidores virtuales de transferencia de hipertexto (HTTP) para proporcionar compatibilidad con los usuarios que obtienen sus mensajes de correo electrónico por medio de Microsoft Outlook Web Access (OWA). Para este propósito, puede ser mejor obtener un certificado de terceros. Con un certificado de terceros, los usuarios pueden conectarse a sus buzones desde equipos públicos, como las de quioscos o cibercafés.

Servidores virtuales de protocolo de transferencia de noticias de la red

Usar certificados con servidores virtuales NNTP si se cumplen las condiciones siguientes:
  • Tener clientes que se conectan a carpetas públicas de Exchange 2000 mediante NNTP.
  • NNTP se utiliza para replicar carpetas públicas entre organizaciones.
Normalmente, las conexiones a servidores de grupos de noticias USENET no admiten autenticación o cifrado, por lo tanto si utiliza certificados con NNTP, debe crear un segundo servidor virtual para este propósito.

Cómo seleccionar un origen de certificados

Cuando se puede obtener certificados para utilizar con los servidores virtuales, tiene tres opciones:
  • Puede adquirir certificados individuales de una CA externa
  • Puede ser una CA subordinada a una CA externa
  • Puede implementar y mantener su propia estructura de la entidad emisora raíz
Quizás tenga que combinar estos enfoques, por ejemplo, puede crear su propia estructura de CA y adquirir certificados individuales de una entidad emisora externa.

Cómo la compra de certificados de una autoridad externa

Puede aplicar a una entidad emisora externa, como VeriSign o Thawte de certificados que se comprueban por uno de los certificados raíz que se instalan con Windows 2000. Adquirir certificados individuales de una CA externa si se cumplen las condiciones siguientes:
  • Desea proporcionar conectividad segura a Internet usuarios generales (como en un entorno de comercio electrónico).
  • Desea admitir usuarios que tienen que conectar desde equipos públicos, por ejemplo, en quioscos o cibercafés.
  • No se puede o no desea admitir su propio entorno de CA.
Normalmente, el costo de un certificado se inicia en aproximadamente 600 $ (moneda de EE.UU.), lo que hace esto el método menos costoso para obtener un solo certificado. Por ejemplo, si compra un certificado de esta manera, los empleados pueden conectarse forma segura a su buzón desde cualquier equipo que ejecute Windows y Microsoft Internet Explorer 4.0 o posterior.

Cómo se convierten en una entidad de certificación subordinada a una autoridad externa

Para completar este enfoque, configurar manualmente como una CA subordinada que es certificada por una entidad emisora externa. Esto significa que puede emitir varios certificados son de confianza porque están vinculadas a los certificados disponibles públicamente en lugar de adquirir por separado cada certificado. Sin embargo, debe mantener su propia estructura CA; el proceso de aprobación requiere tres a seis meses y los costos de un mínimo de 50.000 $ (moneda de EE.UU.). Por ejemplo, Microsoft es una CA subordinada certificada por VeriSign.

Tenga en cuenta se convierta en una CA subordinada, si se cumplen las condiciones siguientes:
  • Desea proporcionar un gran número de certificados disponibles públicamente, por ejemplo para controladores de dispositivo de firma de código.
  • Puede proporcionar la experiencia y compatibilidad para implementar y administrar una CA subordinada.
  • Desea libertad para crear, administrar y revocar certificados públicamente utilizables.

Cómo implementar y mantener su propia estructura de la entidad emisora de certificados raíz

Crear su propia estructura de la entidad emisora raíz si se cumplen las condiciones siguientes:
  • Puede crear una CA de raíz eficaz y confiable y tiene el equipo para hacerlo.
  • Para proporcionar conectividad sólo a los usuarios de su organización o a un número limitado de clientes externos, los clientes o equipos.
  • Utilizar certificados para identificar a usuarios asociando un certificado con una cuenta de inicio de sesión determinado.
  • Desea la máxima libertad y flexibilidad para crear, asignar y revocar certificados sin referencia a cualquier organización externa.
Si implementar y mantener una estructura de CA, (no una operación trivial) requiere los equipos que emiten y mantienen certificados siempre deben estar disponibles. Para obtener más información acerca de cómo instalar y configurar un servidor de certificados, consulte el Kit de recursos de Windows 2000 Server y la la Ayuda de Windows 2000.

Puede mezclar estos enfoques, por ejemplo, puede utilizar una entidad emisora externa para pública su sitio Web de comercio electrónico y utilizar su propia entidad emisora para comprobar las identidades de los empleados cuando se conecten a su equipo con Exchange Server por medio de Internet.

Después de obtener su certificado o configurar la entidad emisora de CERTIFICADOS, debe instalar los certificados en los servidores virtuales de Exchange Server. Este procedimiento es generalmente el mismo para todos los tipos de servidor, excepto para el servidor virtual HTTP. Para instalar certificados en los servidores virtuales POP3, IMAP4, SMTP y NNTP, utilice el administrador del sistema de Exchange. Para configurar servidores virtuales HTTP, utilice el Administrador de servicios Internet (este procedimiento no se describe en este artículo).

Cómo solicitar un certificado de una autoridad externa

Este procedimiento describe cómo instalar certificados desde una entidad emisora externa en una situación donde una solicitud de certificado debe ser preparada y enviada a la entidad emisora externa. Debe procesar el archivo de certificado en una secuencia independiente.

Nota : el siguiente procedimiento se aplica a sólo los protocolos POP3, IMAP4, SMTP y NNTP. En este artículo no describe cómo configurar HTTP para SSL.
  1. Haga clic en Inicio , seleccione programas , seleccione Microsoft Exchange y, a continuación, haga clic en Administrador del sistema .
  2. En el panel izquierdo del Administrador del sistema de Exchange , haga doble clic en servidores .
  3. Haga clic en el equipo Exchange Server que desea configurar y, a continuación, haga doble clic en el contenedor protocolos .
  4. Para cada protocolo que desea configurar, haga doble clic en el objeto correspondiente.
  5. Clic con el botón secundario en el objeto predeterminado de servidor virtual de (nombre de protocolo) y, a continuación, haga clic en Propiedades .
  6. Haga clic en la ficha acceso y, a continuación, haga clic en el botón certificado .
  7. Cuando se inicie el Asistente para certificados de IIS, haga clic en crear un certificado nuevo y, a continuación, haga clic en siguiente .
  8. Haga clic en Preparar la petición ahora pero enviarla más tarde y, a continuación, haga clic en siguiente .
  9. Asignar un nombre apropiado al certificado o acepte la configuración predeterminada del Servidor Virtual predeterminado (nombre de protocolo) , seleccione una longitud en bits y, a continuación, haga clic en siguiente . Nota : las longitudes de clave más afecta al rendimiento (que puede ser más caro).

  10. Escriba la información de unidad organizativa de la CA desde la que desea solicitar un certificado y la organización y a continuación, haga clic en siguiente . Esta información está disponible normalmente en sitio Web de CA o la información se envía a cuando se registra con la entidad emisora.

  11. Escriba el nombre común del sitio y haga clic en siguiente . Nota : si desea permitir el acceso desde Internet, este nombre debe ser un nombre de dominio completo (FQDN) puede resolver externamente que asigna a la dirección de protocolo Internet (IP) que está vinculada el servidor virtual.

  12. En la página Información geográfica , escriba el País o región , estado o provincia de Ciudad o localidad y información como corresponda para su organización y haga clic siguiente .
  13. O bien escriba un nombre y una ruta de acceso para la ubicación en la que desea crear el certificado o acepte el nombre de archivo predeterminado y, a continuación, haga clic en siguiente .
  14. Revise la información en la página Resumen del archivo de petición y, a continuación, haga clic en siguiente .
  15. La página final Confirma que se ha creado un certificado con el nombre de archivo especificado. El valor predeterminado es drive name: \certreq.txt.
  16. Haga clic en Finalizar .

Cómo instalar un certificado de una autoridad externa

Enviar el archivo solicitud de certificado que creó en la sección anterior para su CA. también, la entidad emisora de CERTIFICADOS puede tener una interfaz basada en Web que permite enviar la solicitud de certificado. Recibe un archivo que tiene una extensión de nombre de archivo .cer. Después de recibir este archivo, reinicie el Asistente para certificados con el para instalar este certificado.
  1. En el servidor virtual que utilizó en la sección anterior, haga clic en Propiedades , haga clic en la ficha acceso y, a continuación, haga clic en el botón certificado .
  2. Después se reinicia el Asistente para certificados y recibir notificación de que haya una solicitud de certificado pendiente, haga clic en siguiente .
  3. En la página Solicitud de certificado pendiente , haga clic en procesar la petición pendiente e instalar el certificado y, a continuación, haga clic en siguiente .
  4. En el proceso una solicitud pendiente , escriba la ruta de acceso el certificado que ha recibido de la entidad emisora externa.
  5. Revise la página de Resumen del certificado y, a continuación, haga clic en siguiente .

    La información contenida en el certificado, que incluye que emitió el certificado, cuando el certificado expira, lo que el certificado es que se va a utilizar para, y el nombre descriptivo del certificado se muestran en la página de Resumen del certificado .
  6. Tras recibir notificación de que el certificado está instalado correctamente en el servidor virtual, haga clic en Finalizar .

Cómo instalar un certificado desde un servidor de Microsoft Certificate Server

Si ha instalado Servicios de Microsoft Certificate Server en Windows 2000 como una entidad emisora de CERTIFICADOS raíz o como una CA subordinada, puede enviar su solicitud de certificado de servidor a la entidad emisora en línea directamente.

Nota : sólo puede enviar una solicitud a una entidad emisora de CERTIFICADOS en línea si ha instalado la entidad emisora en Active Directory como una entidad emisora de CERTIFICADOS de empresa, en lugar de como una entidad emisora de CERTIFICADOS independiente.
  1. Haga clic en Inicio , seleccione programas , seleccione Microsoft Exchange y, a continuación, haga clic en Administrador del sistema .
  2. En el panel izquierdo del Administrador del sistema de Exchange , haga doble clic en servidores .
  3. Seleccione el equipo Exchange Server que desea configurar y, a continuación, haga doble clic en el contenedor protocolos .
  4. Para cada protocolo que desea configurar, haga doble clic en el objeto correspondiente.
  5. Clic con el botón secundario en el objeto predeterminado de servidor virtual de (nombre de protocolo) y, a continuación, haga clic en Propiedades .
  6. Haga clic en la ficha acceso y, a continuación, haga clic en el botón certificado
  7. Cuando se inicie el Asistente para certificados de IIS, haga clic en crear un certificado nuevo y, a continuación, haga clic en siguiente .
  8. En la página Petición demorada o inmediata , haga clic en enviar la petición inmediatamente a una entidad emisora de certificados en línea y, a continuación, haga clic en siguiente .
  9. Asigne un nombre apropiado para identificar este certificado o acepte el nombre predeterminado del Servidor Virtual predeterminado (nombre de protocolo) , haga clic en una longitud de bit adecuado y, a continuación, haga clic en siguiente .

    Nota : las longitudes de clave más afectar negativamente al rendimiento.
  10. Escriba la información de unidad organizativa de su servidor y de organización y a continuación, haga clic en siguiente .
  11. Escriba el nombre común de su sitio y, a continuación, haga clic en siguiente . Esto coincide con el nombre de dominio completo de DNS (FQDN) que asigna a la dirección IP del servidor virtual Protocolo relevantes que va a utilizar este certificado. Si los usuarios se conectan a este servidor virtual desde Internet, este nombre debe ser un FQDN puede resolver externamente.

  12. En la página Información geográfica , escriba el País o región , estado o provincia de Ciudad o localidad y información apropiado para su entidad emisora de certificados y, a continuación, haga clic en siguiente .
  13. En la página Elija una entidad emisora de certificados , revise la entidad emisora en línea para su organización y a continuación, haga clic en siguiente .
  14. Revise los detalles que escribió en el Asistente en la página de Envío de solicitud de certificado y, a continuación, haga clic en siguiente . La página final Confirma que está instalado un certificado en el servidor virtual que haya seleccionado.

  15. Haga clic en Finalizar .

Cómo forzar comunicaciones seguras

Después de instalar el certificado, puede forzar a comunicaciones seguras en los protocolos POP3, IMAP4 y SMTP.

Nota : protocolo NNTP la hace no un tienen que establecer en Forzar comunicaciones seguras.
  1. Haga clic en Inicio , seleccione programas , seleccione Microsoft Exchange y, a continuación, haga clic en Administrador del sistema .
  2. En el panel izquierdo del Administrador del sistema de Exchange , haga doble clic en servidores .
  3. Haga clic en el equipo Exchange Server que desea configurar y, a continuación, haga doble clic en el contenedor protocolos .
  4. Para cada protocolo que desea exigir la seguridad, haga doble clic en el objeto correspondiente.
  5. Clic con el botón secundario en el objeto predeterminado de servidor virtual de (nombre de protocolo) y, a continuación, haga clic en Propiedades .
  6. Haga clic en la ficha acceso y, a continuación, haga clic en el botón de comunicación .
  7. Haga clic en el cuadro Requerir canal seguro . Además, hacer clic en el cuadro de cifrado requieren 128 bits . Sin embargo, tenga en cuenta que el equipo de Exchange Server y los equipos cliente que se conectan deben ser compatible con cifrado de 128 bits.

  8. Haga clic en Aceptar y, a continuación, haga clic en Aceptar para aceptar los cambios y cerrar las propiedades de servidor virtual.

Cómo confirmar que el certificado está instalado correctamente

Para confirme que el servidor virtual está utilizando SSL cifrado y que el certificado está instalado correctamente, configuración Outlook Express para conectarse mediante un canal seguro y, a continuación, utilizan a Monitor de red para comprobar que los paquetes de protocolo están cifrados.
  1. En Microsoft Outlook Express, haga clic en cuentas en el menú Herramientas .
  2. Haga clic en la ficha correo (para POP3, IMAP4 o SMTP) o haga clic en la ficha noticias (para NNTP).
  3. Haga doble clic en la cuenta de Exchange Server para el protocolo correspondiente y, a continuación, haga clic en la ficha Avanzadas .
  4. Haga clic para seleccionar la casilla de verificación este servidor requiere una conexión segura (SSL) . Si activa esta casilla, los POP3 puerto números cambios de 110 a 995, el puerto de IMAP4 cambia de 143 a 993, el puerto NNTP cambia de 119 a 563 y el puerto SMTP permanece en el puerto 25.

  5. Haga clic en Aceptar para cerrar el cuadro de Propiedades de cuenta y, a continuación, haga clic en Cerrar para volver a Outlook Express.
  6. Ejecute la captura de Monitor de red y, a continuación, conectarse a su equipo con Exchange Server con la cuenta que sólo haya configurado. Cuando examina los paquetes, observe que los paquetes del protocolo en el que haya configurado la seguridad están cifrados.

Solución de problemas

Si ejecutan su propia entidad emisora raíz o si tiene una CA subordinada, tenga en cuenta que si su entorno de Certificate Server no responde, puede perder todos los certificados emitidos actualmente y la lista de revocación de certificados. Si pierde los certificados y la lista de revocación de certificados, los clientes no pueden conectarse forma segura a los servidores virtuales de protocolo que configuran con esos certificados. Por lo tanto, es importante que decidir si implementar su propia entidad emisora.

Referencias

Para obtener más información acerca de Certificate Server, consulte el Kit de recursos de Windows 2000 Server y el Kit de recursos de Microsoft Exchange 2000 Server.

Los productos de terceros mencionados en este artículo son fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.


Propiedades

Id. de artículo: 319574 - Última revisión: miércoles, 28 de febrero de 2007 - Versión: 1.5
La información de este artículo se refiere a:
  • Microsoft Exchange 2000 Server Standard Edition
Palabras clave: 
kbmt kbhowto kbhowtomaster KB319574 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 319574

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com