COMO: Utilizar certificados com servidores virtuais no Exchange 2000 Server

Traduções de Artigos Traduções de Artigos
Artigo: 319574 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo a passo descreve como instalar e utilizar certificados para utilização com o Exchange 2000.

Exchange 2000 inclui um número de servidores virtuais que é responsável por processar ligações de entrada e saídas para um número de serviços Internet padrão. Estes serviços são:
  • Post Office Protocol versão 3 (POP3)
  • Internet Message Access Protocol version 4 (IMAP4)
  • Protocolo de transferência de correio simples (SMTP)
  • Protocolo de transferência de notícias de rede (NNTP)
Pode instalar certificados nestes servidores virtuais para permitir a utilização de comunicação encriptada.

Nota : Exchange 2000 inclui também um servidor virtual de protocolo de transferência de hipertexto (HTTP, Hypertext Transfer Protocol). No entanto, configure este servidor virtual utilizando o Gestor de serviços da Internet. Este procedimento não descritos neste artigo.

Requisitos

A lista seguinte descreve o hardware recomendado, software, infra-estrutura de rede e service packs que necessita:
  • Microsoft Windows 2000 Server com Service Pack 2 (SP2)
  • O Active Directory
  • Exchange 2000 Server com Service Pack 1 (SP1)
  • Microsoft Outlook Express 5 ou posterior (para efeitos de teste)
Este artigo pressupõe que está familiarizado com os seguintes tópicos:
  • Exchange System Manager
  • TCP/IP
  • Configurar e utilizar o Microsoft Network Monitor, incluindo como configurar filtros de captura.


O que é um certificado?

Um certificado é a base de fornecer segurança entre duas partes através de redes públicas. Os certificados são instruções assinadas digitalmente que contêm uma chave pública e o nome do proprietário ou assunto do certificado. Os certificados também são assinados pela corpo emissora ou autoridade de certificação (AC). Se a AC assina o certificado, a AC confirma que a chave privada associada a chave pública do certificado está na posse do utilizador designado no certificado.

Certificados fornecem um mecanismo para estabelecer uma relação entre uma chave pública e a entidade que detém a chave privada correspondente. A maior parte dos certificados baseiam International Telecommunication Union, sector da normalização das Telecomunicações (UTI-T) X.509 versão 3 padrão.

Pode utilizar certificados para efectuar as seguintes tarefas:
  • Protecção de comunicações entre dois utilizadores ou computadores para impedir a visualização não autorizada do conteúdo da mensagem ou ficheiro transmitido.
  • Assinar digitalmente uma troca electrónica (tal como uma transferência de ficheiros ou mensagens) para verificar que este não tiver sido alterada em trânsito.
  • Verificar um indivíduo ou identidade do computador.
  • Encriptar dados contidos no sistema de armazenamento, como, por exemplo, num disco ou banda.
  • Certificação que um ficheiro como um controlador de dispositivo tenha sido aprovado e não tiver sido alterado entre o processo de testes e instalação.
Normalmente, os certificados utilizam a extensão de .cer e têm as mesmas propriedades como outros ficheiros no computador. Normalmente, os certificados residir nos arquivos de certificados no computador. O Windows 2000 inclui certificados de um número de pública X.509 versão 3 AC, como, por exemplo, VeriSign, Thawte e SecureNet. O Windows 2000 também tem um incorporado X.509 versão 3 compatível com Certificate Server serviço, que lhe permite criar sua própria AC e distribuir certificados para utilização na organização e por clientes externos ou computadores. Esta funcionalidade permite flexibilidade quando implementar certificados.

Como utilizar certificados com servidores virtuais

Esta secção é fornecida para ajudar a compreender por que razão poderá pretender utilizar certificados com os servidores virtuais.

Servidores virtuais do protocolo Post Office Protocol versão 3 e servidores virtuais do protocolo Internet Message Access Protocol versão 4

Os servidores virtuais POP3 e IMAP4 servidores virtuais fornecem os serviços necessários para os clientes POP3 ou IMAP4 cliente tal como o Microsoft Outlook Express para obter mensagens de correio electrónico a partir do computador do Exchange 2000. Poderá utilizar POP3 ou IMAP4 para obter mensagens de correio electrónico do Exchange 2000, se as velocidades de ligação são muito lentas e os utilizadores não requerem a funcionalidade completa do programa de cliente do Outlook.

No entanto, os protocolos POP3 e IMAP4 utilizar texto simples para o envio de mensagens e para autenticação. Se adicionar um certificado para a servidores virtuais POP3 ou IMAP4 servidores virtuais, pode oferecer encriptação Secure Sockets Layer (SSL) e certifique-se que ambos os autenticação sequência e mensagem corpos são encriptados durante o trânsito através de redes públicas.

Servidores virtuais de protocolo de transferência de correio simples

Servidores virtuais de SMTP fornecem os serviços seguintes, sozinhos ou em conjunto com um conector SMTP:
  • Colecção de correio e entrega de e para servidores de SMTP externos.
  • Correio encaminhamento entre grupos de encaminhamento do Exchange Server.
  • Recepção de correio de clientes POP3/IMAP4.
Estes requisitos podem ser mutuamente; isto acontece porque que não é possível configurar o servidor virtual de SMTP que envia e recebe correio de e para domínios externos através do conector SMTP do Exchange para utilizar encriptação SSL. A maior parte dos servidores SMTP na Internet não suportam SSL. No entanto, se utilizar o SMTP como o mecanismo de entrega do mensagem do correio electrónico POP3 e IMAP4, deve encriptar essas transações, particularmente se já configurou SSL para o processo colecção de mensagem de correio electrónico POP3 ou IMAP4.

A Microsoft recomenda que crie separado servidores virtuais de SMTP, outra para utilização com grupos de encaminhamento do Exchange Server e outra para entrega de mensagens de correio electrónico POP3 e IMAP4, e que configure o servidor virtual de ambos os com certificados e SSL. Depois de o fazer, pode utilizar o servidor virtual de SMTP predefinido para ligar a domínios externos através do conector SMTP.

Servidores virtuais de protocolo de transferência de hipertexto

Normalmente, utiliza certificados com servidores virtuais de protocolo de transferência de hipertexto (HTTP, Hypertext Transfer Protocol) para fornecer suporte para utilizadores que obtêm as mensagens de correio electrónico através do Microsoft Outlook Web Access (OWA). Para tal, poderá ser melhor obter um certificado de outros fabricantes. Com um certificado de terceiros, os utilizadores podem ligar a caixas de correio dos computadores públicos, tais como os quiosques ou Internet cafes.

Protocolo servidores virtuais de transferência de newsgroups de rede

Utilize certificados com servidores virtuais de NNTP caso se verifiquem as seguintes condições:
  • Tem de clientes que ligam pastas públicas do Exchange 2000 através da utilização de NNTP.
  • Utilizam o NNTP para replicar pastas públicas entre organizações.
Normalmente, ligações a servidores de newsgroups USENET não suportam a autenticação ou encriptação, assim Se utilizar certificados com NNTP, tem de criar um segundo servidor virtual de NNTP para esta finalidade.

Como seleccionar uma origem de certificados

Quando obter certificados para utilizar com os servidores virtuais, tem três opções:
  • Pode adquirir certificados individuais de uma AC externa
  • Se uma AC subordinada a uma AC externa
  • Pode implementar e manter a suas próprias estrutura de AC de raiz
Poderá ter de combinar estas abordagens, por exemplo, pode criar a suas próprias AC estrutura e adquirir certificados individuais de uma AC externa.

A compra certificados a partir de uma autoridade de certificação externa

Pode aplicar a uma AC externa como a VeriSign ou Thawte para certificados que são verificados por uma dos certificados de raiz que são instalados com o Windows 2000. Compre certificados individuais de uma AC externa se as seguintes condições forem verdadeiras:
  • Pretende fornecer conectividade segura aos gerais utilizadores da Internet (tal como num ambiente de comércio electrónico).
  • Pretende suportar os utilizadores que têm de ligar de computadores públicos como, por exemplo, quiosques ou cafes de Internet.
  • Não é possível ou não deseja suportar a suas próprias AC ambiente.
Normalmente, o custo de um certificado começa em aproximadamente 600 dólares (divisa dos E.U.A.), que torna este o método menos dispendioso para obter apenas um certificado. Por exemplo, se adquirir um certificado desta forma, os empregados podem segura ligar a respectiva caixa de correio partir de qualquer computador com Windows e o Microsoft Internet Explorer 4.0 ou posterior.

Como torne-se uma autoridade de certificação subordinada para uma autoridade de certificação externa

Para concluir esta abordagem, deve definir manualmente como uma AC subordinada que está certificada por uma AC externa. Isto significa que pode emitir vários certificados são fidedignos, uma vez que estão ligadas a certificados disponíveis publicamente em vez de adquirir cada certificado em separado. No entanto, deve manter a suas próprias AC estrutura; o processo de aprovação requer três a seis meses e os custos de um mínimo de ? 50.000 (Estados Unidos moeda). Por exemplo, o Microsoft é uma AC subordinada certificada pela VeriSign.

Considere a tornar-se uma AC subordinada se as seguintes condições forem verdadeiras:
  • Pretender fornecer um grande número de certificados publicamente disponíveis, por exemplo para assinatura em código controladores de dispositivo.
  • Pode fornecer os conhecimentos e suporte para implementar e gerir uma AC subordinada.
  • Pretende que a liberdade para criar, gerir e revogar certificados publicamente utilizáveis.

Como implementar e manter a seus próprios estrutura de autoridade de certificação de raiz

Crie o seus próprios estrutura de AC de raiz se verifiquem as seguintes condições:
  • Pode criar uma fiável e eficaz AC de raiz e ter o equipamento para o fazer.
  • Fornece conectividade apenas para utilizadores da sua organização ou para um número limitado de clientes externos, clientes ou computadores.
  • Utilizar certificados para identificar pessoas associando um certificado com uma conta de início de sessão específico.
  • Pretende que a liberdade máxima e flexibilidade para criar, atribuir e revogam certificados sem referência a qualquer organização externa.
Se implementar e manter uma estrutura de AC, (não uma operação trivial) requer os computadores que emitem e mantém certificados tem de estar sempre disponíveis. Para obter mais informações sobre como instalar e configurar um servidor de certificados, consulte o Microsoft Windows 2000 Server Resource Kit e à ajuda de 2000 Windows.

Pode combinar estas abordagens, por exemplo, pode utilizar uma AC externa para o e-commerce pública Web site e utilizar a suas próprias AC para verificar identidades dos seus funcionários quando se ligam ao computador do Exchange Server através da Internet.

Depois de obter o certificado ou configurar a AC, tem de instalar os certificados nos servidores virtuais do Exchange Server. Este procedimento é geralmente os mesmos para todos os tipos de servidor, excepto para o servidor virtual de HTTP. Para instalar certificados nos servidores virtuais POP3, IMAP4, SMTP e NNTP, utilize o Exchange System Manager. Para configurar servidores virtuais de HTTP, utilize o Gestor de serviços Internet (este procedimento não é descrito neste artigo).

Como pedir um certificado a partir de uma autoridade de certificação externa

Este procedimento descreve como instalar certificados de uma AC externa numa situação onde um pedido de certificado tem de estar preparado e enviado para a AC externa. Tem processar o ficheiro de certificado numa sequência diferente.

Nota : O procedimento seguinte aplica-se apenas os protocolos POP3, IMAP4, SMTP e NNTP. Este artigo não descreve como configurar o HTTP para SSL.
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. No painel de esquerdo do Exchange System Manager , clique duas vezes servidores .
  3. Clique no computador do Exchange Server que pretende configurar e, em seguida, faça duplo clique no contentor protocolos .
  4. Para cada protocolo que pretende configurar, faça duplo clique no objecto.
  5. Clique com o botão direito do rato no objecto predefinido do servidor virtual da (nome de protocolo) e, em seguida, clique em Propriedades .
  6. Clique no separador acesso e, em seguida, clique no botão certificados .
  7. Depois de iniciar o Assistente de certificados do IIS, clique em criar um novo certificado e, em seguida, clique em seguinte .
  8. Clique em preparar o pedido agora, mas enviá-la mais tarde e, em seguida, clique em seguinte .
  9. Quer atribuir um nome adequado para o certificado ou aceite a predefinição do Servidor Virtual predefinido (nome de protocolo) , seleccione um comprimento de bits e, em seguida, clique em seguinte . Nota : os comprimentos de chave mais afecta o desempenho (que pode ser mais dispendioso).

  10. Escreva o organização e informações de unidade organizacional para a AC a partir do qual pretende pedir um certificado e, em seguida, clique em seguinte . Estas informações estão normalmente disponíveis a partir Web site da AC ou a informação é enviada para quando se registar com a AC.

  11. Introduza o nome comum para o site e clique em seguinte . Nota : Se pretender permitir o acesso a partir da Internet, este nome tem de ser um nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) externamente passíveis de resolução que mapeia para o endereço IP (protocolo Internet) está ligado ao servidor virtual.

  12. Na página Informações geográficas , escreva o País/região , estado/província e Cidade/Localidade informações como apropriada para a organização e, em seguida, clique em seguinte .
  13. Ou escreva um nome e um caminho para a localização na qual pretende criar o certificado ou aceite o nome de ficheiro predefinido e, em seguida, clique em seguinte .
  14. Reveja as informações na página Pedido de resumo de ficheiro e, em seguida, clique em seguinte .
  15. A página final confirma que foi criado um certificado com o nome do ficheiro especificado. A predefinição é drive name: \certreq.txt.
  16. Clique em Concluir .

Como instalar um certificado a partir de uma autoridade de certificação externa

Envie o ficheiro de pedido de certificado que criou na secção anterior para a AC. em alternativa, a AC pode ter uma interface baseada na Web que permite submeter o pedido de certificado. Receberá um ficheiro com uma extensão de nome de ficheiro .cer. Depois de receber este ficheiro, reinicie o Assistente de certificados para instalar este certificado.
  1. No servidor virtual que utilizou na secção anterior, clique em Propriedades , clique no separador acesso e, em seguida, clique no botão de certificados .
  2. Depois de reiniciar o Assistente de certificados e receber notificação de que tem um pedido de certificado pendente, clique em seguinte .
  3. Na página Pedido de certificado pendente , clique em processar o pedido pendente e instalar o certificado e, em seguida, clique em seguinte .
  4. No processo de um pedido pendente , escreva o caminho para o certificado que recebeu de AC externa.
  5. Reveja a página Resumo do certificado e, em seguida, clique em seguinte .

    As informações incluídas no certificado, que inclui que emitiu o certificado, quando o certificado expirar, o que o certificado deve ser utilizada para e o nome amigável do certificado são apresentados na página Resumo do certificado .
  6. Depois de receber notificação de que o certificado é instalado com êxito no servidor virtual, clique em Concluir .

Como instalar um certificado a partir de um servidor de certificados da Microsoft

Se tiver instalado o Microsoft Certificate Server serviços no Windows 2000 como uma AC de raiz ou como uma AC subordinada, pode enviar o pedido de servidor de certificado da AC online directamente.

Nota : Se só pode enviar um pedido para uma AC online se tiver instalado a AC no Active Directory como empresarial, em vez de como uma AC autónoma.
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. No painel de esquerdo do Exchange System Manager , clique duas vezes servidores .
  3. Seleccione o computador do Exchange Server que pretende configurar e, em seguida, faça duplo clique no contentor protocolos .
  4. Para cada protocolo que pretende configurar, faça duplo clique no objecto.
  5. Clique com o botão direito do rato no objecto predefinido do servidor virtual da (nome de protocolo) e, em seguida, clique em Propriedades .
  6. Clique no separador acesso e, em seguida, clique no botão certificados
  7. Depois de iniciar o Assistente de certificados do IIS, clique em criar um novo certificado e, em seguida, clique em seguinte .
  8. Na página adiada ou imediata pedido , clique em Enviar a requisição imediatamente a uma autoridade de certificação online e, em seguida, clique em seguinte .
  9. Atribua um nome adequado para identificar este certificado ou aceitar o nome predefinido do Servidor Virtual predefinido (nome de protocolo) , clique num comprimento de bits adequado e, em seguida, clique em seguinte .

    Nota : comprimentos de chaves mais longos afectar negativamente o desempenho.
  10. Escreva o organização e informações de unidade organizacional para o servidor e, em seguida, clique em seguinte .
  11. Escreva o nome comum do site e, em seguida, clique em seguinte . Isto corresponde ao nome de domínio totalmente qualificado de DNS (FQDN, Fully Qualified Domain Name) que mapeia para o endereço IP do servidor virtual protocolo relevantes que está a utilizar este certificado. Se os utilizadores são ligação a este servidor virtual a partir da Internet, este nome tem de ser um FQDN externamente passíveis de resolução.

  12. Na página Informações geográficas , introduza o País/região , estado/província e Cidade/Localidade informações que é apropriada para a autoridade de certificação e, em seguida, clique em seguinte .
  13. Na página Escolher uma autoridade de certificação , reveja a AC online para a organização e, em seguida, clique em seguinte .
  14. Reveja os detalhes que introduziu no assistente na página de Submissão de pedido de certificado e, em seguida, clique em seguinte . A página final confirma que um certificado é instalado no servidor virtual que seleccionou.

  15. Clique em Concluir .

Como forçar comunicações seguras

Depois de instalar o certificado, pode forçar comunicações seguras em protocolos POP3, IMAP4 e SMTP.

Nota : protocolo NNTP O não um tem a definição para forçar comunicações seguras.
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. No painel de esquerdo do Exchange System Manager , clique duas vezes servidores .
  3. Clique no computador do Exchange Server que pretende configurar e, em seguida, faça duplo clique no contentor protocolos .
  4. Para cada protocolo que pretende aplicar a segurança, faça duplo clique no objecto.
  5. Clique com o botão direito do rato no objecto predefinido do servidor virtual da (nome de protocolo) e, em seguida, clique em Propriedades .
  6. Clique no separador acesso e, em seguida, clique no botão comunicação .
  7. Clique na caixa Exigir canal seguro . Além disso, pode clicar em caixa encriptação Exigir 128 bits . No entanto, tenha em atenção que o computador do Exchange Server e todos os computadores cliente que ligar tem de ser suportam a encriptação de 128 bits.

  8. Clique em OK e, em seguida, clique em OK para aceitar as alterações e fechar as propriedades do servidor virtual.

Como confirmar se o certificado está instalado correctamente

Para confirmar que o servidor virtual estiver a utilizar SSL encriptação que o certificado está instalado correctamente, configurar o Outlook Express para ligar utilizando um canal seguro e, em seguida, utilize o Monitor de rede para verificar que os pacotes de protocolo são encriptados.
  1. No Microsoft Outlook Express, clique em contas no menu Ferramentas .
  2. Clique no separador correio (para POP3, IMAP4 ou SMTP) ou clique no separador newsgroups (para NNTP).
  3. Clique duas vezes a conta do Exchange Server para o protocolo relevante e clique no separador Avançadas .
  4. Clique para seleccionar a caixa de verificação este servidor requer uma ligação segura (SSL) . Se seleccionar esta caixa, o POP3 porta número alterado de 110 para 995, a porta IMAP4 muda de 143 para 993, a porta NNTP é alterado de 119 para 563 e a porta SMTP permanece na porta 25.

  5. Clique em OK para fechar a caixa de Propriedades da conta e, em seguida, clique em Fechar para regressar ao Outlook Express.
  6. Execute a captura do Monitor de rede e, em seguida, ligar ao computador do Exchange Server utilizando a conta apenas configurou. Quando examinar os pacotes, repare que os pacotes para o protocolo em que tiver configurado a segurança são encriptados.

Resolução de problemas

Se estiver a utilizar a suas próprias AC de raiz ou se tiver uma AC subordinada, tenha em atenção que se o ambiente de servidor de certificados não responder, poderá perder todos os certificados emitidos actualmente e lista de revogação de certificados. Se perder certificados e a lista de revogação de certificados, os clientes não consegue ligar uma forma segura aos servidores virtuais de protocolo que configurado com esses certificados. Por conseguinte, é importante que decida se pretende implementar a sua própria AC.

Referências

Para mais informações sobre o servidor de certificados, consulte o Microsoft Windows 2000 Server Resource Kit e Microsoft Exchange 2000 Server Resource Kit.

Os produtos de outros fabricantes que são discutidos neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, expressa ou implícita, relativamente ao desempenho ou fiabilidade destes produtos.


Propriedades

Artigo: 319574 - Última revisão: 28 de fevereiro de 2007 - Revisão: 1.5
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange 2000 Server Standard Edition
Palavras-chave: 
kbmt kbhowto kbhowtomaster KB319574 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 319574

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com