COMO FAZER: Utilizar Certificados com Servidores Virtuais no servidor Exchange 2000

Traduções deste artigo Traduções deste artigo
ID do artigo: 319574 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi publicado anteriormente em BR319574
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo passo a passo descreve como instalar e utilizar certificados com o Exchange 2000.

O Exchange 2000 incorpora um número de servidores virtuais que são responsáveis por servir conexões internas e externas para diversos serviços de Internet padrão. Esses serviços são:
  • Post Office Protocol versão 3 (POP3)
  • Internet Message Access Protocol versão 4 (IMAP4)
  • Simple Mail Transfer Protocol (SMTP)
  • Network News Transfer Protocol (NNTP)
Você pode instalar certificados nesses servidores virtuais permitir o uso de comunicação encriptada.

NOTA : O Exchange 2000 também inclui um servidor virtual Hypertext Transfer Protocol (HTTP). Entretanto, você configura esse servidor virtual utilizando o Internet Services Manager. Esse procedimento não está descrito neste artigo.

Requisitos

A lista seguinte descreve o hardware, software, infra-estrutura de rede e service packs recomendados que você precisa:
  • Microsoft Windows 2000 Server com Service Pack 2 (SP2)
  • Active Directory
  • O Exchange 2000 Server com Service Pack 1 (SP1)
  • Microsoft Outlook Express 5 ou versão posterior (para propósitos de teste)
Este artigo assume que você conhece os seguintes tópicos:
  • Exchange System Manager
  • TCP/IP
  • Configurar e utilizar o Microsoft Network Monitor, incluindo a configuração de filtros de captura.


O que é um Certificado?

O certificado é a base para fornecer segurança entre duas partes nas redes públicas. Os certificados são declarações assinadas digitalmente que contêm uma chave pública e o nome do proprietário ou assunto do certificado. Os certificados também são assinados pelo corpo emissor ou pela autoridade de certificação (CA). Se a CA assinar o certificado, ela confirma que a chave privada associada com a chave pública do certificado está em posse do nome de usuário no certificado.

Os certificados fornecem um mecanismo para estabelecer um relacionamento entre uma chave pública e a entidade que possui a chave privada correspondente. A maioria dos certificados é baseada no padrão da International Telecommunications Union, Telecommunication Standardization Sector (ITU-T) X.509 versão 3.

Você pode utilizar certificados para realizar as seguintes tarefas:
  • Proteger comunicações entre dois usuários ou computadores para impedir a visualização não-autorizada da mensagem transmitida ou do conteúdo de arquivo.
  • Assinar digitalmente uma troca eletrônica (como uma transferência de arquivos ou mensagem) para verificar se ela não foi alterada em trânsito.
  • Verificar a identidade de um indivíduo ou um computador.
  • Criptografar os dados contidos em um sistema de armazenamento, como em um disco rígido ou fita.
  • Certificar-se que um arquivo como um driver de dispositivo foi aprovado e não foi alterado entre o processo de teste e instalação.
Em geral, os certificados utilizam a extensão .cer e têm as mesmas propriedades que outros arquivos no computador. Normalmente, os certificados residem em armazenamentos de certificado no computador. O Windows 2000 inclui certificados de diversas CAs públicas X.509 versão 3, como VeriSign, Thawte e SecureNet. O Windows 2000 também tem um serviço integrado de Certificate Server compatível com X.509 versão 3, que permite criar CA própria e distribuir certificados para utilização tanto na organização como por computadores ou clientes externos. Essa funcionalidade fornece flexibilidade ao distribuir certificados.

Como Utilizar Certificados com Servidores Virtuais

Esta seção é fornecida para ajudar a entender por que você poderia querer utilizar certificados com seus servidores virtuais.

Servidores virtuais Post Office Protocol versão 3 e servidores virtuais Internet Message Access Protocol versão 4

Os servidores virtuais POP3 e servidores virtuais IMAP4 fornecem os serviços necessários para os clientes POP3 ou IMAP4 como Microsoft Outlook Express obter mensagens de correio eletrônico a partir do computador Exchange 2000. Você pode querer utilizar POP3 ou IMAP4 para obter mensagens de correio eletrônico a partir do Exchange 2000 se as velocidades de conexão forem muito lentas e os usuários não exigirem a funcionalidade completa dos programas clientes Outlook.

Entretanto, os protocolos POP3 e IMAP4 utilizam texto claro para envio de mensagens e autenticação. Se você adiciona um certificado nos servidores virtuais POP3 ou IMAP4, você pode oferecer criptografia do Secure Sockets Layer (SSL) e certificar-se que tanto a seqüência de autenticação como o corpo das mensagens são encriptados por todo o trânsito através das redes públicas.

Servidores Virtuais de Simple Mail Transfer Protocol

Os servidores virtuais de SMTP fornecem os seguintes serviços, por conta própria ou em conjunto com um conector de SMTP:
  • Coleta e entrega de correio para e partir de servidores de SMTP externos.
  • Roteia correio entre grupos de roteamento do Exchange Server.
  • Recebe correio a partir de clientes POP3/IMAP4.
Esses requisitos podem ser mutuamente exclusivos; isso porque você não pode configurar o servidor virtual de SMTP que envia e recebe correio para e a partir de domínios externos por meio do conector de Exchange SMTP para utilizar a criptografia de SSL. A maioria dos servidores SMTP na Internet não suporta SSL. Entretanto, se utilizar SMTP como o mecanismo de entrega de mensagem de correio eletrônico de POP3 e IMAP4, você deve encriptar essas transações, particularmente se já tiver configurado a SSL para o processo de coleta de mensagem de correio eletrônico de POP3 e IMAP4.

A Microsoft recomenda criar servidores virtuais de SMTP separados, um para a utilização com grupos de roteamento do Exchange Server e um para a entrega de mensagem de correio eletrônico de POP3 e IMAP4 e configurar o servidor virtual com certificados e SSL. Depois de fazer isso, você pode utilizar o servidor SMTP virtual padrão para se conectar a domínios externos por meio do conector de SMTP.

Servidores Virtuais de Hypertext Transfer Protocol

Em geral, você utiliza certificados com servidores virtuais de Hypertext Transfer Protocol (HTTP) para fornecer suporte para usuários que obtém suas mensagens de correio eletrônico por meio do Microsoft Outlook Web Access (OWA). Para esse propósito, pode ser melhor obter um certificado de terceiros. Com um certificado de terceiros, os usuários podem conectar-se a suas caixas de correio a partir de computadores públicos, como aqueles em quiosques ou cibercafés.

Servidores virtuais de Network News Transfer Protocol

Utilize certificados com servidores virtuais de NNTP se as seguintes condições forem verdadeiras:
  • Você tem clientes que se conectam às pastas públicas do Exchange 2000 utilizando NNTP.
  • Você utiliza NNTP para replicar pastas públicas entre organizações.
Em geral, as conexões com servidores de newsgroup de Usenet não suportam autenticação ou criptografia, portanto se você utiliza certificados com NNTP, deve criar um segundo servidor virtual de NNTP para esse propósito.

Como Selecionar a Origem de um Certificado

Ao obter certificados para utilizar com seus servidores virtuais, você tem três escolhas:
  • Você pode comprar certificados individuais de uma CA externa
  • Você pode tornar-se uma CA subordinada de uma CA externa
  • Você pode implementar e manter sua própria estrutura de CA raiz
Você pode ter de combinar essas abordagens, por exemplo, pode criar sua própria estrutura de CA e comprar certificados individuais de uma CA externa.

Como Comprar Certificados de uma Autoridade de Certificação Externa

Você pode se inscrever em uma CA externa como VeriSign ou Thawte para obter certificados que são verificados por um dos certificados raiz que são instalados com Windows 2000. Compre certificados individuais de uma CA externa se as seguintes condições forem verdadeiras:
  • Você quer fornecer conectividade segura para usuários gerais de Internet (como em um ambiente de comércio eletrônico).
  • Você quer suportar usuários que têm de se conectar de computadores públicos, por exemplo, em quiosques ou cibercafés.
  • Você não pode ou não quer suportar seu próprio ambiente de CA.
Em geral, o custo de um certificado começa a partir de aproximadamente US$ 600, o que torna esse o método menos caro de obter apenas um certificado. Por exemplo, se você comprar um certificado dessa maneira, os empregados podem seguramente se conectar a suas respectivas caixas de correio a partir de qualquer computador executando Windows e Microsoft Internet Explorer 4.0 ou versão posterior.

Como se Tornar uma Autoridade de Certificação Subordinada a uma Autoridade de Certificação Externa

Para completar essa abordagem, você mesmo se configura como uma CA subordinada que é certificada por uma CA externa. Isso significa que você pode emitir múltiplos certificados que são de confiança porque são vinculados a certificados publicamente disponíveis em vez de comprar cada certificado separadamente. Entretanto, você ainda deve manter sua própria estrutura de CA; o processo de aprovação exige de três a seis meses e custa no mínimo US$ 50.000. Por exemplo, a Microsoft é uma CA subordinada certificada pela VeriSign.

Considere tornar-se uma CA subordinada se as seguintes condições forem verdadeiras:
  • Você quer fornecer um grande número de certificados publicamente disponíveis, por exemplo para assinatura de código de drivers de dispositivo.
  • Você pode fornecer a perícia e o suporte para implementar e gerenciar uma CA subordinada.
  • Você quer a liberdade de criar, gerenciar e revogar certificados publicamente utilizáveis.

Como Implementar e Manter sua Própria Estrutura de Autoridade de Certificação Raiz

Crie sua própria estrutura de CA raiz se as seguintes condições forem verdadeiras:
  • Você pode criar uma CA de raiz confiável e eficiente e tem o equipamento para fazer isso.
  • Você fornece conectividade apenas para usuários na sua própria organização ou a um número limitado de clientes externos, consumidores ou computadores.
  • Você utiliza certificados para identificar indivíduos associando um certificado a uma conta de logon particular.
  • Você quer a liberdade máxima e a flexibilidade de criar, atribuir e revogar certificados sem referência a qualquer organização externa.
A implementação e a manutenção de uma estrutura de CA, (não é uma operação trivial) exige que os computadores que emitem e mantêm certificados estejam sempre disponíveis. Para obter informações adicionais sobre como instalar e configurar um servidor de certificado, veja o Microsoft Windows 2000 Server Resource Kit e a Ajuda do Windows 2000.

Você pode misturar essas abordagens, por exemplo, você pode utilizar uma CA externa para seu site da Web público de comércio eletrônico e utilizar sua própria CA para verificar a identidades dos empregados quando eles se conectarem ao seu computador Exchange Server por meio da Internet.

Depois de obter seu certificado ou configurar sua CA, você deve instalar os certificados nos servidores virtuais do Exchange Server. Esse procedimento é geralmente o mesmo para todos os tipos de servidores, exceto para o servidor virtual de HTTP. Para instalar certificados nos servidores virtuais de POP3, IMAP4, SMTP e NNTP, utilize Exchange System Manager. Para configurar servidores virtuais de HTTP, utilize Internet Services Manager (esse procedimento não é descrito neste artigo).

Como Solicitar um Certificado a Partir de uma Autoridade de Certificação Externa

Esse procedimento descreve como instalar certificados a partir de uma CA externa em uma situação em que uma solicitação de certificado deve ser preparada e enviada à CA externa. Você deve processar o arquivo de certificado em uma seqüência separada.

NOTA : O seguinte procedimento se aplica somente aos protocolos POP3, IMAP4, SMTP e NNTP. Este artigo não descreve como configurar HTTP para SSL.
  1. Clique em Start, aponte para Programs, aponte para Microsoft Exchange e então clique em System Manager .
  2. No painel esquerdo do Exchange System Manager, dê um clique duplo em Servers .
  3. Clique no computador Exchange Server que você quer configurar e então dê um clique duplo no container Protocols .
  4. Para cada protocolo que você quer configurar, dê um clique duplo no objeto relevante.
  5. Clique com o botão direito do mouse no objeto Default (protocol name) virtual server e então clique em Properties .
  6. Clique na guia Access e então clique no botão Certificate .
  7. Depois que o IIS Certificate Wizard iniciar, clique em Create a new certificate e então clique em Next .
  8. Clique em Prepare the request now, but send it later , e então clique em Next .
  9. Atribua um nome apropriado ao certificado ou aceite a configuração padrão de Default (protocol name) Virtual Server, selecione um comprimento de bit e então clique em Next .NOTE: Os comprimentos chave mais longos afetam o desempenho (o que pode ser mais caro).

  10. : Os comprimentos chave mais longos afetam o desempenho (o que pode ser mais caro). Digite as informações da organização e da unidade organizacional para a CA da qual você quer solicitar um certificado e então clique em Next . Essas informações em geral estão disponíveis a partir do site Web da CA ou as informações são enviadas para você quando você se registra com a CA.

  11. : Os comprimentos chave mais longos afetam o desempenho (o que pode ser mais caro). Digite o nome comum para seu site e então clique em Next .NOTA : Se quiser permitir acesso da Internet, esse nome deve ser um nome de domínio FQDN (Fully Qualified Domain Name) que mapeia para o endereço IP (Internet Protocol) que está vinculado ao servidor virtual.

  12. : Os comprimentos chave mais longos afetam o desempenho (o que pode ser mais caro). Na página Geographical Information, digite as informações Country/Region, State/province e City/locality conforme apropriado para sua organização e então clique em Next .
  13. : Os comprimentos chave mais longos afetam o desempenho (o que pode ser mais caro). Digite um nome e um caminho para a localização em que você quer criar o certificado ou aceite o nome de arquivo padrão e então clique em Next .
  14. : Os comprimentos chave mais longos afetam o desempenho (o que pode ser mais caro). Revise as informações na página Request File Summary , e então clique em Next .
  15. : Os comprimentos chave mais longos afetam o desempenho (o que pode ser mais caro). A página final confirma que um certificado com o nome de arquivo especificado foi criado. A configuração padrão é nome da Unidade :\certreq.txt.
  16. : Os comprimentos chave mais longos afetam o desempenho (o que pode ser mais caro). Clique em Finish .

Como Instalar um Certificado a Partir de uma Autoridade de Certificação Externa

Envie o arquivo de solicitação de certificado que você criou na seção anterior para sua CA. Alternativamente, sua CA pode ter uma interface baseada na Web que permite enviar a solicitação de certificado. Você recebe um arquivo que tem uma extensão de nome de arquivo .cer. Depois de receber esse arquivo, reinicie o Certificate Wizard para instalar esse certificado.
  1. No servidor virtual que você utilizou na seção anterior, clique em Properties, clique na guia Access e então clique no botão Certificate .
  2. Depois que o Certificate Wizard reiniciar e você receber notificação de que tem uma solicitação de certificado pendente, clique em Next .
  3. Na página Pending Certificate Request, clique em Process the pending request and install the certificate e então clique em Next .
  4. Em Process a Pending Request, digite o caminho para o certificado que você recebeu da CA externa.
  5. Revise a página Certificate Summary e então clique em Next .

    As informações que estão contidas no certificado, que incluem quem emitiu o certificado, quando o certificado expira, para que o certificado é utilizado e o nome amigável de certificado, são exibidos na página Certificate Summary .
  6. Depois de receber a notificação de que o certificado foi instalado com sucesso no servidor virtual, clique em Finish.

Se tiver instalado os serviços do Microsoft Certificate Server

no Windows 2000 como uma CA raiz ou como uma CA subordinada, você pode enviar sua solicitação de servidor de certificado diretamente à CA on-line.

NOTA : Você só pode enviar uma solicitação para uma CA on-line se tiver instalado a CA no Active Directory como uma CA de empresa, em vez de como uma CA independente.
  1. Clique em Start, aponte para Programs, aponte para Microsoft Exchange e então clique em System Manager .
  2. No painel esquerdo do Exchange System Manager, dê um clique duplo em Servers .
  3. Clique no computador Exchange Server que você quer configurar e então dê um clique duplo no container Protocols .
  4. Para cada protocolo que você quer configurar, dê um clique duplo no objeto relevante.
  5. Clique com o botão direito do mouse no objeto Default (protocol name) virtual server e então clique em Properties .
  6. Clique na guia Access e então clique no botão Certificate .
  7. Depois que o IIS Certificate Wizard iniciar, clique em Create a new certificate e então clique em Next .
  8. Na página Delayed ou Immediate Request, clique em Send the request immediately to an online certification authority e então clique em Next .
  9. Atribua um nome apropriado para identificar esse certificado ou aceite o nome padrão de Default (protocol name) Virtual Server, clique em um comprimento adequado de bits e então clique em Next .

    NOTA : Comprimentos de chave mais longos afetam o desempenho adversamente.
  10. Digite as informações da organização e da unidade organizacional para seu servidor e então clique em Next .
  11. Digite o nome comum para seu site e então clique em Next . Isso corresponde ao nome de domínio FQDN (Fully Qualified Domain Name) que mapeia para o endereço IP do servidor virtual de protocolo relevante que é utilizar esse certificado. Se os usuários se conectam a esse servidor virtual da Internet, esse nome deve ser um FQDN externamente resolvível.

  12. Isso corresponde ao nome de domínio FQDN (Fully Qualified Domain Name) que mapeia para o endereço IP do servidor virtual de protocolo relevante que é utilizar esse certificado. Se os usuários se conectam a esse servidor virtual da Internet, esse nome deve ser um FQDN externamente resolvível. Na página Geographical Information, digite as informações Country/Region, State/province e City/locality conforme for apropriado para sua Autoridade Certificadora e então clique em Next .
  13. Isso corresponde ao nome de domínio FQDN (Fully Qualified Domain Name) que mapeia para o endereço IP do servidor virtual de protocolo relevante que é utilizar esse certificado. Se os usuários se conectam a esse servidor virtual da Internet, esse nome deve ser um FQDN externamente resolvível. Na página Choose a Certification Authority, revise a CA on-line da sua organização e então clique em Next .
  14. Isso corresponde ao nome de domínio FQDN (Fully Qualified Domain Name) que mapeia para o endereço IP do servidor virtual de protocolo relevante que é utilizar esse certificado. Se os usuários se conectam a esse servidor virtual da Internet, esse nome deve ser um FQDN externamente resolvível. Revise os detalhes que você inseriu no assistente na página Certificate Request Submission e então clique em Next . A página final confirma que um certificado foi instalado no servidor virtual que você selecionou.

  15. Isso corresponde ao nome de domínio FQDN (Fully Qualified Domain Name) que mapeia para o endereço IP do servidor virtual de protocolo relevante que é utilizar esse certificado. Se os usuários se conectam a esse servidor virtual da Internet, esse nome deve ser um FQDN externamente resolvível. Clique em Finish .

Como Forçar Comunicações Seguras

Após instalar o certificado, você pode forçar comunicações seguras nos protocolos de POP3, IMAP4 e SMTP.

NOTA : O protocolo NNTP não tem uma configuração para forçar comunicações seguras.
  1. Clique em Start, aponte para Programs, aponte para Microsoft Exchange e então clique em System Manager .
  2. No painel esquerdo do Exchange System Manager, dê um clique duplo em Servers .
  3. Clique no computador Exchange Server que você quer configurar e então dê um clique duplo no container Protocols .
  4. Para cada protocolo que você quiser forçar segurança, dê um clique duplo no objeto relevante.
  5. Clique com o botão direito do mouse no objeto Default (protocol name) virtual server e então clique em Properties .
  6. Clique na guia Access e então clique no botão Communication .
  7. Clique na caixa Require secure channel . Além disso, você pode clicar na caixa Require 128-bit encryption . Entretanto, note que tanto o computador Exchange Server como qualquer computador cliente que se conecta deve suportar a criptografia de 128 bits.

  8. Além disso, você pode clicar na caixa Clique em OK e então clique em OK para aceitar as alterações e fechar as propriedades do servidor virtual.

Como Confirmar se seu Certificado está Instalado Corretamente

Para confirmar se o seu servidor virtual está utilizando criptografia SSL e que o certificado está instalado corretamente, configure o Outlook Express para conectar-se utilizando um canal seguro e então utilize o Network Monitor para verificar se os pacotes de protocolo são encriptados.
  1. No Microsoft Outlook Express, clique em Contas no menu Ferramentas .
  2. Clique na a guia Correio (para POP3, IMAP4 ou SMTP) ou clique na guia Notícias (para NNTP).
  3. Dê um clique duplo na conta Exchange Server para o protocolo relevante e então clique na guia Avançado .
  4. Clique para selecionar a caixa de verificação Este servidor requer uma conexão segura (SSL) . Se você selecionar essa caixa, o número da porta de POP3 muda de 110 para 995, a porta IMAP4 muda de 143 para 993, porta NNTP muda de 119 para 563 e a porta de SMTP permanece como porta 25.

  5. Se você selecionar essa caixa, o número da porta de POP3 muda de 110 para 995, a porta IMAP4 muda de 143 para 993, porta NNTP muda de 119 para 563 e a porta de SMTP permanece como porta 25. Clique em OK para fechar a caixa Propriedades da Conta e então clique em Fechar para retornar para o Outlook Express.
  6. Se você selecionar essa caixa, o número da porta de POP3 muda de 110 para 995, a porta IMAP4 muda de 143 para 993, porta NNTP muda de 119 para 563 e a porta de SMTP permanece como porta 25. Execute a captura de Network Monitor e então conecte-se ao seu computador Exchange Server utilizando a conta que você acabou de configurar. Ao examinar os pacotes, observe que os pacotes do protocolo em que você configurou a segurança estão encriptados.

Solução de Problemas

Se estiver mantendo sua própria CA raiz ou se tiver uma CA subordinada, note que se seu ambiente do Certificate Server não responde, você pode perder todos os certificados que foram emitidos atualmente e sua lista de revogação de certificado. Se perder os certificados e a lista de revogação de certificados, seus clientes não podem se conectar seguramente aos servidores virtuais do protocolo que foram configurados com esses certificados. Então, é importante decidir se implementa ou não sua própria CA.

Referências

Para obter informações adicionais sobre Servidor de Certificado, veja o Microsoft Windows 2000 Server Resource Kit e o Microsoft Exchange 2000 Server Resource Kit.

Os produtos de terceiros discutidos neste artigo são produzidos por companhias que são independentes da Microsoft. A Microsoft não oferece garantia, implicita ou não, a respeito da performance ou confiabilidade desses produtos de terceiros.


Propriedades

ID do artigo: 319574 - Última revisão: sábado, 26 de outubro de 2002 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange 2000 Server Standard Edition
Palavras-chave: 
kbhowto kbhowtomaster KB319574

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com