Использование сертификатов с виртуальными серверами в Exchange 2000 Server

Переводы статьи Переводы статьи
Код статьи: 319574 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается, как установить и использовать сертификаты для использования с Exchange 2000.

Exchange 2000 включает в себя несколько виртуальных серверов, которые отвечают за обслуживание входящих и исходящих подключений для некоторых стандартных служб Интернета. Эти службы являются:
  • POST Office Protocol версии 3 (POP3)
  • Сообщения доступа протокол IP версии 4 (IMAP4)
  • Простой протокол передачи электронной почты (SMTP)
  • Протокол передачи сетевых новостей (NNTP)
Чтобы установить сертификаты на этих виртуальных серверов, чтобы разрешить использование обмена зашифрованными данными.

ПРИМЕЧАНИЕ: Exchange 2000 также содержит виртуальный сервер Hypertext Transfer Protocol (HTTP). Тем не менее Настройка этого виртуального сервера с помощью диспетчера служб Интернета. В этой процедуре не описанные в этой статье.

Требования

В следующем списке представлены оборудования, программного обеспечения, сетевой инфраструктуры и пакетов обновления, необходимо:
  • Microsoft Windows 2000 Server с пакетом обновления 2 (SP2)
  • Active Directory
  • Exchange 2000 Server с пакетом обновления 1 (SP1)
  • Microsoft Outlook Express 5 или более поздней (для целей тестирования)
Предполагается, что вы знакомы с следующие темы:
  • Диспетчер Exchange System Manager
  • ПРОТОКОЛ TCP/IP
  • Настройка и использование сетевой монитор Майкрософт, включая настройку фильтров записи.


Что такое сертификат?

Сертификат является основой обеспечения безопасности между двумя сторонами по открытым сетям. Сертификаты, подписанные цифровой подписью инструкции, содержащие открытый ключ и имя владельца или субъекта сертификата. Сертификаты также подписаны выдающего тела или центра сертификации (ЦС). Если центр сертификации подписывает сертификат, центр сертификации подтверждает закрытый ключ, связанный с открытым ключом сертификата во временном пользовании пользователя, указанного в сертификате.

Сертификаты обеспечивают механизм для установления связи между сущности, к которой принадлежит соответствующий закрытый ключ и открытый ключ. Большинство используемых сертификатов основано на Международный Телекоммуникационный Union, сектора стандартизации телекоммуникаций (ITU-T) X.509 версии 3 стандартные.

Сертификаты можно использовать для выполнения следующих задач:
  • Защита соединений между двумя пользователей или компьютеров для предотвращения несанкционированного просмотра передаваемых сообщений или содержимого файла.
  • Чтобы убедиться, что он не был изменен в общественном транспорте при подписывании электронного обмена (например, передача файлов или сообщения).
  • Проверка отдельного пользователя или учетная запись компьютера.
  • Шифрование данных, содержащихся в системе хранения данных, таких как на жестком диске или на магнитной ленте.
  • Сертификации, что файл драйвера устройства был утвержден и не был изменен между процессом тестирования и установки.
Как правило сертификаты используют расширение .cer и имеют одинаковые свойства, что и другие файлы на компьютере. Как правило сертификаты находятся в хранилище сертификатов на компьютере. В Windows 2000 имеются сертификаты из числа открытых X.509 версии 3 центрами сертификации, например VeriSign и Thawte SecureNet. Windows 2000 также имеет встроенные X.509 версии 3-совместимый сертификат сервера службу, которая позволяет создавать собственные ЦС и распространения сертификатов для использования как в вашей организации, так и внешних клиентов или компьютеров. Эта функция обеспечивает гибкость при развертывании сертификатов.

Использование сертификатов с виртуальными серверами

В этом разделе призвана помочь вам понять, почему может потребоваться использование сертификатов с виртуальными серверами.

POST Office Protocol версии 3 виртуальных серверов и виртуальных серверов протоколу Интернета версии 4

Виртуальные серверы POP3 и IMAP4 виртуальных серверов предоставления необходимых услуг для клиентов POP3 или IMAP4 клиента, например Microsoft Outlook Express для получения сообщений электронной почты с компьютера Exchange 2000. Можно использовать POP3 или IMAP4 получить сообщения электронной почты с Exchange 2000, если скорость соединения очень медленно и пользователям не требуется функциональность клиентской программы Outlook.

Однако для отправки сообщений, а также для проверки подлинности протоколов POP3 и IMAP4 использовать только текст. При добавлении сертификата в виртуальных серверов POP3 или IMAP4 виртуальные серверы поддерживают шифрование Secure Sockets Layer (SSL) и убедитесь, что зашифрованные тексты проверки подлинности сообщений и последовательности по всему пути по открытым сетям.

Простой почты переноса виртуальных серверов протокола

Виртуальные серверы SMTP предоставляют следующие услуги, сами по себе или в сочетании с помощью соединителя SMTP:
  • Входящей почты и доставки и из внешних серверов SMTP.
  • Почтовый маршрутизации между группами маршрутизации Exchange Server.
  • Получение почты от клиентов POP3 и IMAP4.
Эти требования могут быть взаимоисключающими; Это обусловлено тем, что нельзя настроить виртуальный сервер SMTP, который отправляет и получает письма от внешних доменов, соединитель Exchange SMTP для использования SSL-шифрования. Большинство SMTP-серверов в Интернете, не поддерживает протокол SSL. Тем не менее при использовании SMTP в качестве механизма доставки сообщений POP3 и IMAP4 электронной почты необходимо зашифровать эти транзакции, особенно если уже настроен протокол SSL для обработки коллекции сообщения POP3 или IMAP4 электронной почты.

Корпорация Майкрософт рекомендует создать отдельный виртуальных серверов SMTP, одну для группы маршрутизации Exchange Server и один для доставки сообщений электронной почты POP3 и IMAP4, настройте оба виртуального сервера с сертификаты и протокол SSL. После этого можно использовать виртуальный сервер SMTP по умолчанию для подключения к внешним доменам с использованием соединителя SMTP.

Виртуальные серверы протокол передачи гипертекста

Как правило использование сертификатов с виртуальными серверами Hypertext Transfer Protocol (HTTP) для обеспечения поддержки пользователей, получение сообщений электронной почты с использованием Microsoft Outlook Web Access (OWA). Для этой цели может быть лучше получить сертификат третьей стороны. С помощью сторонних сертификатов пользователи могут подключаться к своим почтовым ящикам с публичных компьютеров, таких как киоски или Интернет-кафе.

Сетевой протокол передачи новостей виртуальных серверов

Использование сертификатов с виртуальных серверов NNTP, если выполняются следующие условия:
  • У клиентов, подключающихся к общим папкам Exchange 2000 с помощью NNTP.
  • NNTP используется для репликации общих папок между организациями.
Как правило подключения к серверам новостей USENET не поддерживают проверку подлинности или шифрования, поэтому при использовании сертификатов с NNTP, необходимо создать второй виртуальный NNTP-сервер для этой цели.

Выбор источника сертификатов

Получение сертификатов для использования с виртуальными серверами имеется три варианта:
  • Вы можете приобрести индивидуальные сертификаты из внешнего центра сертификации
  • Стать подчиненного ЦС для внешнего центра сертификации
  • Можно реализовать и поддерживать собственные корневые ЦС структуры
Возможно, для объединения этих подходов, например, можно создать структуру ЦС и приобрести индивидуальные сертификаты из внешнего центра сертификации.

Как приобрести сертификаты из центра сертификации

Для сертификатов, которые проверяются по одному из корневых сертификатов, которые устанавливаются вместе с Windows 2000 можно применить к внешним ЦС, таких как VeriSign и Thawte. Приобрести индивидуальные сертификаты из внешнего центра сертификации, если выполняются следующие условия:
  • Необходимо предоставить безопасное подключение к общей пользователей Интернета (например, в среде электронной коммерции).
  • Требуется для поддержки пользователей, которым необходимо подключиться с публичных компьютеров, например, в Интернет-кафе или киосков.
  • Вы не можете или не требуется поддержка среды ЦС.
Как правило стоимость сертификата начинается приблизительно $600 (Валюта США), что делает это дешевого метода для получения только одного сертификата. Например если приобрести сертификат таким образом сотрудников можно безопасного подключения к почтовому ящику с любого компьютера под управлением Windows и обозреватель Microsoft Internet Explorer версии 4.0 или более поздней версии.

Как стать подчиненного центра сертификации для центра сертификации

Чтобы завершить этот подход, настраивается самостоятельно как подчиненный ЦС, который Сертифицирован внешним центром сертификации. Это означает, что можно выдать несколько сертификатов, которые являются доверенными, потому что они связаны с общедоступным сертификаты вместо приобретения отдельно каждый сертификат. Тем не менее по-прежнему необходимо сохранить структуру собственного центра сертификации; процесс утверждения требует трех-шести месяцев и стоимость менее $ 50 000 (Валюта США). Например Microsoft является подчиненным ЦС, сертификат от VeriSign.

Рассмотрите возможность стать подчиненного ЦС, если выполняются следующие условия:
  • Необходимо предоставить большое количество публично доступных сертификатов, например для подписи кода драйверов устройств.
  • Можно предоставить опыта и поддержки для внедрения и управления подчиненного ЦС.
  • Требуется свобода для создания, управления и отзыв сертификатов публично доступной.

Как реализовать и поддерживать структуру корневые центры сертификации

Создайте собственный корневой ЦС структуры, если выполняются следующие условия:
  • Создание надежной и эффективной корневого центра сертификации, а также оборудование для этого.
  • Предоставляют связь только для пользователей в своей организации или ограниченное число внешних клиентов, пользователей или компьютеров.
  • Для идентификации отдельных пользователей путем сопоставления сертификата с учетной записью входа в систему конкретного использования сертификатов.
  • Требуется максимальную свободу и гибкость для создания, назначение и отзыв сертификатов без ссылки на любые внешние организации.
Если реализовать и поддерживать структуру ЦС (trivial операции) требуется компьютеров, выдачу и обслуживание сертификатов должен быть всегда доступен. Дополнительные сведения о том, как установить и настроить сертификат сервера содержатся в разделе справки Windows 2000 и Microsoft Windows 2000 Server Resource Kit.

Эти варианты можно комбинировать, например, использовать внешний центр сертификации для вашей коммерции веб-узла и использовать свой собственный центр сертификации для проверки подлинности ваших сотрудников при подключении к серверу Exchange с использованием Интернета.

После получения сертификата или настройке центра сертификации, необходимо установить сертификаты на виртуальные серверы Exchange Server. Эта процедура обычно является одинаковым для всех типов серверов, за исключением виртуального сервера HTTP. Чтобы установить сертификаты на виртуальных серверах POP3, IMAP4, SMTP и NNTP, используйте диспетчер Exchange System Manager. Чтобы настроить виртуальные серверы HTTP, используйте диспетчер служб Интернета (Эта процедура не описанных в этой статье).

Как запросить сертификат из центра сертификации

Здесь описана установка сертификатов из внешнего центра сертификации в ситуации, где запрос сертификата должен быть подготовлен и отправляемых внешним центром сертификации. Необходимо обработать файл сертификата в отдельной последовательности.

ПРИМЕЧАНИЕ: Следующая процедура применима только протоколы POP3, IMAP4, SMTP и NNTP. В этой статье не описывается настройка HTTP для SSL.
  1. Нажмите кнопку Начало, выберите пункт Программы, выберите пункт Microsoft Exchange, а затем нажмите кнопку Диспетчер системы.
  2. В левой области окна Диспетчер Exchange System Manager, дважды щелкните значок Серверы.
  3. Выберите компьютер с сервером Exchange, которую требуется настроить, а затем дважды щелкните значок Протоколы контейнер.
  4. Для каждого протокола, который требуется настроить дважды щелкните соответствующий объект.
  5. Щелкните правой кнопкой мыши Виртуальный сервер по умолчанию (имя протокола) Объект, а затем нажмите кнопку Свойства.
  6. Нажмите кнопку Доступ на вкладке и нажмите кнопку Сертификат Нажатие кнопки.
  7. После запуска мастера сертификатов IIS, нажмите кнопку Создать новый сертификат, а затем нажмите кнопку Далее.
  8. Нажмите кнопку Подготовить запрос сейчас, но отправить позже, а затем нажмите кнопку Далее.
  9. Назначить соответствующее имя сертификата или примите значение по умолчанию Виртуальный сервер по умолчанию (имя протокола), выберите длину бит и нажмите кнопку Далее.ПРИМЕЧАНИЕ: Ключами большой длины влияет на производительность (который может быть более дорогой).

  10. Введите организации и подразделения для центра сертификации, из которого необходимо запросить сертификат и нажмите кнопку Далее. Обычно эта информация доступна на веб-узле ЦС или информация отправляется при регистрации с центром сертификации.

  11. Введите общее имя для веб-узла и нажмите кнопку Далее.ПРИМЕЧАНИЕ: Если вы хотите разрешить доступ из Интернета, это имя должно быть разрешимым извне полное доменное имя (FQDN), сопоставляет IP-адрес, связанный с виртуальным сервером.

  12. На Сведения О местоположении Введите Страна/регион, Область или край и Город сведения, как подходит для вашей организации и нажмите кнопку Далее.
  13. Введите имя и путь к расположению, в котором требуется создать сертификата или примите имя по умолчанию и нажмите кнопку Далее.
  14. Просмотрите сведения на Сведения О файле запроса страницы, а затем нажмите кнопку Далее.
  15. Последняя страница Подтверждение создания сертификата с помощью указанного имени файла. Значение по умолчанию — имя_диска: \certreq.txt.
  16. Нажмите кнопку Окончание.

Установка сертификата из центра сертификации

Отправка запроса на сертификат, созданный в предыдущем разделе ЦС. Кроме того, возможно, веб-интерфейс, который позволяет отправить запрос сертификата центра сертификации. Получение файла с расширением .cer. После открытия этого файла, перезапустите мастер сертификатов, чтобы установить этот сертификат.
  1. На виртуальном сервере, который использовался в предыдущем разделе нажмите кнопку Свойства, нажмите кнопку Доступ на вкладке и нажмите кнопку Сертификат Нажатие кнопки.
  2. После перезагрузки мастер сертификатов и получать уведомления о наличии ожидающего запроса сертификата, нажмите кнопку Далее.
  3. На Ожидающий запрос сертификата Выберите Обработать ожидающий запрос и установить сертификат, а затем нажмите кнопку Далее.
  4. В Обработка ожидающего запроса, введите путь к сертификату, полученные из внешнего центра сертификации.
  5. Обзор Сведения О сертификате страницы, а затем нажмите кнопку Далее.

    Сведения, содержащиеся в сертификате, который включает в себя, выдавшему сертификат, по истечении срока действия сертификата, что сертификат будет использоваться для и понятное имя сертификата, отображаются на Сведения О сертификате страницы.
  6. После получения уведомления, что сертификат успешно установлен на виртуальном сервере, нажмите кнопку Окончание.

Установка сертификата с сервера сертификации Microsoft

При наличии службы Microsoft Certificate Server на Windows 2000 в качестве корневого центра сертификации или как подчиненный ЦС, можно отправить ваш запрос на сертификат сервера непосредственно к сети ЦС.

ПРИМЕЧАНИЕ: Можно только отправить запрос к сети ЦС установки ЦС в Active Directory как ЦС предприятия, а не как изолированный ЦС.
  1. Нажмите кнопку Начало, выберите пункт Программы, выберите пункт Microsoft Exchange, а затем нажмите кнопку Диспетчер системы.
  2. В левой области окна Диспетчер Exchange System Manager, дважды щелкните значок Серверы.
  3. Выберите компьютер с сервером Exchange, которую требуется настроить, а затем дважды щелкните значок Протоколы контейнер.
  4. Для каждого протокола, который требуется настроить дважды щелкните соответствующий объект.
  5. Щелкните правой кнопкой мыши Виртуальный сервер по умолчанию (имя протокола) Объект, а затем нажмите кнопку Свойства.
  6. Нажмите кнопку Доступ на вкладке и нажмите кнопку Сертификат кнопки...
  7. После запуска мастера сертификатов IIS, нажмите кнопку Создать новый сертификат, а затем нажмите кнопку Далее.
  8. На Отложенный или немедленный запрос Выберите Немедленно отправить запрос в локальную службу сертификации, а затем нажмите кнопку Далее.
  9. Назначить соответствующее имя для идентификации данного сертификата или примите имя по умолчанию Виртуальный сервер по умолчанию (имя протокола), выберите подходящий Битовая длина и нажмите кнопку Далее.

    ПРИМЕЧАНИЕ: Ключами большой длины неблагоприятно повлиять на производительность.
  10. Введите организации и подразделения для вашего сервера и нажмите кнопку Далее.
  11. Введите общее имя для веб-узла и нажмите кнопку Далее. Это соответствует DNS-имя полного имени домена (FQDN), сопоставляет IP-адрес виртуального сервера соответствующий протокол, который должен использовать этот сертификат. Если пользователи подключаются к виртуальному серверу из Интернета, это имя должно быть извне разрешить полное доменное имя.

  12. На Сведения О местоположении Введите Страна/регион, Область или край и Город сведения, необходимые для центра сертификации и нажмите кнопку Далее.
  13. На Выбор центра сертификации страницы, Просмотр интерактивного Центра для организации и нажмите кнопку Далее.
  14. Просмотрите данные, которые были введены в мастере Отправка запроса сертификата страницы, а затем нажмите кнопку Далее. Последняя страница подтверждает, что сертификат установлен на виртуальный сервер, который вы выбрали.

  15. Нажмите кнопку Окончание.

Инструкции по безопасной связи силы

После установки сертификата, можно принудительно безопасных соединений по протоколам POP3, IMAP4 и SMTP.

ПРИМЕЧАНИЕ: Протокол NNTP, не имеющих параметр принудительно безопасной связи.
  1. Нажмите кнопку Начало, выберите пункт Программы, выберите пункт Microsoft Exchange, а затем нажмите кнопку Диспетчер системы.
  2. В левой области окна Диспетчер Exchange System Manager, дважды щелкните значок Серверы.
  3. Выберите компьютер с сервером Exchange, которую требуется настроить, а затем дважды щелкните значок Протоколы контейнер.
  4. Для каждого протокола, для обеспечения безопасности дважды щелкните соответствующий объект.
  5. Щелкните правой кнопкой мыши Виртуальный сервер по умолчанию (имя протокола) Объект, а затем нажмите кнопку Свойства.
  6. Нажмите кнопку Доступ на вкладке и нажмите кнопку Обмен данными Нажатие кнопки.
  7. Нажмите кнопку Требуется безопасный канал поле. Кроме того, можно нажать кнопку Требовать 128-битное шифрование поле. Однако учтите, что компьютер Exchange Server и все клиентские компьютеры, подключающиеся должен поддерживают 128-битное шифрование.

  8. Нажмите кнопку ОК, а затем нажмите кнопку ОК Чтобы принять изменения и закрыть диалоговое окно свойств виртуального сервера.

Как убедиться, что сертификат правильно установлен

Убедитесь, что виртуальный сервер использует SSL шифрование установки сертификата правильно, настройте Outlook Express для подключения с помощью безопасного канала и затем убедитесь, что зашифрованные пакеты протокола с помощью сетевого монитора.
  1. В Microsoft Outlook Express нажмите кнопку Учетные записи В меню Сервис меню.
  2. Нажмите кнопку Почта TAB (для POP3, IMAP4 или SMTP) или нажмите кнопку Новости Вкладка (NNTP).
  3. Дважды щелкните учетную запись сервера Exchange для соответствующих протоколов и нажмите кнопку Дополнительно Вкладка.
  4. Выберите Этого сервера требуется безопасное соединение (SSL) флажок. Если этот флажок установлен, POP3 порт номер изменения из 110 995, порт IMAP4 приобретает 143 993, порт NNTP приобретает 119 563 и порт SMTP остается на порт 25.

  5. Нажмите кнопку ОК Чтобы закрыть Свойства учетной записи поле, а затем нажмите кнопку Закрыть Чтобы вернуться в Outlook Express.
  6. Запуск сетевого монитора, а затем подключите к компьютеру Exchange Server с помощью учетной записи, вы только что установлен. Пакеты, приведенное шифрование пакетов для протокола, на котором настроена безопасность.

Устранение неполадок

Если используется собственный корневой ЦС или при наличии подчиненного центра сертификации, следует иметь в виду, что среде сертификат сервера не отвечает, может привести к потере всех сертификатов, выдаваемых в настоящее время и список отзыва сертификатов. При потере списка отзыва сертификатов и сертификаты клиентов не безопасное подключение к протокол виртуальных серверов, которые настроены с этими сертификатами. Очень важно решить следует ли реализовывать собственные ЦС.

Ссылки

Дополнительные сведения о сертификате сервера содержатся в Microsoft Windows 2000 Server Resource Kit и Microsoft Exchange 2000 Server Resource Kit.

Продукты независимых производителей, упомянутые в данной статье, производятся компаниями, независимыми от корпорации Майкрософт. Корпорация Майкрософт не дает явных или подразумеваемых, относительно производительности или надежности этих продуктов.


Свойства

Код статьи: 319574 - Последний отзыв: 7 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange 2000 Server Standard Edition
Ключевые слова: 
kbhowto kbhowtomaster kbmt KB319574 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:319574

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com