Como utilizar certificados com servidores virtuais do Exchange Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 823024 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo a passo descreve como instalar e utilizar certificados com o Exchange Server 2003. Exchange Server 2003 inclui um número de servidores virtuais que é responsável por processar ligações de entrada e saídas para um número de serviços Internet padrão. Estes serviços são:
  • Post Office Protocol versão 3 (POP3)
  • Internet Message Access Protocol version 4 (IMAP4)
  • Protocolo de transferência de correio simples (SMTP)
  • Protocolo de transferência de notícias de rede (NNTP)
Pode instalar certificados nestes servidores virtuais para permitir a utilização de comunicação encriptada.

Nota Exchange Server 2003 inclui também um protocolo de transferência de hipertexto servidor virtual (HTTP). No entanto, configure este servidor virtual utilizando o Gestor de serviços da Internet. Este procedimento não descritos neste artigo. Para obter informações adicionais sobre como utilizar o Gestor de serviços Internet configurar um servidor virtual de protocolo de transferência de hipertexto, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
299875COMO: Implementar SSL num computador Windows 2000 IIS 5.0

Requisitos

A lista seguinte descreve recomendado hardware, software, infra-estrutura de rede e service packs:
  • Microsoft Windows 2000 Server com Service Pack 3 (SP3)
  • Serviço de directório Microsoft Active Directory
  • Exchange Server 2003
  • Microsoft Outlook Express 5 ou posterior (para efeitos de teste)
Este artigo pressupõe que está familiarizado com os seguintes tópicos:
  • Exchange System Manager
  • TCP/IP
  • Como configurar e utilizar o Monitor de rede Microsoft e como configurar filtros de captura

O que é um certificado?

Um certificado é utilizado para ajudar a proteger a ligação entre dois interlocutores através de redes públicas. Os certificados são instruções assinadas digitalmente que contêm uma chave pública e o nome do proprietário ou o requerente do certificado. Os certificados também são assinados por emissão corpo ou a autoridade de certificação (AC). Se a AC assina o certificado, a AC confirma que a chave privada associada a chave pública do certificado está na posse do utilizador que tem o nome no certificado.

Certificados fornecem um mecanismo para estabelecer uma relação entre uma chave pública e a entidade que detém a chave privada correspondente. A maior parte dos certificados se baseiam X.509 International Telecommunication Union telecomunicações sector da normalização (UTI-T) versão 3 padrão.

Pode utilizar certificados para efectuar as seguintes tarefas:
  • Para fornecer comunicação com segurança avançada entre dois utilizadores ou dois computadores para ajudar a impedir a visualização não autorizada da mensagem ou o conteúdo do ficheiro que é transmitido.
  • Para assinar digitalmente uma troca electrónica (tal como uma transferência de ficheiros ou uma mensagem) para verificar que não foi alterada em trânsito.
  • Para verificar a identidade de uma pessoa ou identidade do computador.
  • Para encriptar dados que estão contidos no sistema de armazenamento, como, por exemplo, um disco rígido ou numa banda.
  • Para se certificar de que um ficheiro como um controlador de dispositivo tenha sido aprovado e não foi alterado entre os testes e a instalação processa.
Normalmente, os certificados utilizam a extensão de .cer e têm as mesmas propriedades como outros ficheiros no computador. Normalmente, os certificados residir nos arquivos de certificados no computador. O Windows 2000 inclui certificados de um número de pública X.509 versão 3 AC, como, por exemplo, VeriSign, Thawte e SecureNet. O Windows 2000 também tem um servidor de certificados incorporado serviço que seja compatível com X.509 versão 3. O serviço de servidor de certificados permite criar sua própria AC e distribuir certificados para utilização na organização e por clientes externos ou computadores. Esta funcionalidade permite flexibilidade quando implementar certificados.

Como utilizar certificados com servidores virtuais

Registar servidores virtuais do Office Protocol versão 3 e Internet Message Access Protocol versão 4 servidores virtuais

Os servidores virtuais POP3 e os servidores virtuais IMAP4 fornecem os serviços que necessitam de clientes POP3 ou IMAP4 clientes (tais como o Microsoft Outlook Express) para obter mensagens de correio electrónico a partir do computador com o Exchange Server 2003. Poderá utilizar POP3 ou IMAP4 para obter mensagens de correio electrónico do Exchange Server 2003 se as velocidades de ligação são muito lentas e se os utilizadores não requerem a funcionalidade completa do programa de cliente do Outlook.

No entanto, POP3 e IMAP4 utilizar texto simples para o envio de mensagens e para autenticação. Se adicionar um certificado para os servidores virtuais POP3 ou os servidores de virtuais IMAP4, pode oferecer encriptação Secure Sockets Layer (SSL). Quando utiliza encriptação SSL, a sequência de autenticação e os corpos de mensagens são encriptados durante o trânsito através de redes públicas.

Servidores virtuais de protocolo de transferência de correio simples

Servidores virtuais de SMTP fornecem os serviços seguintes, sozinhos ou em conjunto com um conector SMTP:
  • Correio recolha e entrega de e para SMTP externo servidores.
  • Correio encaminhamento entre grupos de encaminhamento do Exchange Server.
  • Recepção de correio de clientes POP3/IMAP4.
Não poderá configurar o servidor virtual SMTP que envia e que recebe correio com domínios externos utilizando o conector SMTP do Exchange e a encriptação SSL. A maior parte dos servidores SMTP na Internet não suportam SSL encriptação; no entanto, se utilizar o SMTP como o POP3 e IMAP4 correio electrónico mensagem mecanismo, tem de encriptar essas transações. Isto é particularmente verdade se já tiver configurado o SSL para o POP3 ou o processo de recolha de mensagens de correio electrónico IMAP4.

A Microsoft recomenda a criação de SMTP separado dois servidores virtuais para utilização com grupos de encaminhamento do Exchange Server e para POP3 e IMAP4 a entrega de mensagens de correio electrónico. Se configurar ambas dos servidores virtuais com certificados e encriptação SSL, pode utilizar o servidor virtual de SMTP predefinido para ligar a domínios externos através do conector SMTP.

Servidores virtuais de protocolo de transferência de hipertexto

Normalmente, utilizar certificados com servidores virtuais de protocolo de transferência de hipertexto (HTTP, Hypertext Transfer Protocol) para fornecer suporte para utilizadores do Microsoft Outlook Web Access (OWA) para obter as mensagens de correio electrónico. Para tal, poderá ser melhor obter um certificado de outros fabricantes. Com um certificado de terceiros, os utilizadores podem ligar a caixas de correio de computadores públicos, tais como os que pode encontrar na quiosques ou na Internet cafes.

Protocolo servidores virtuais de transferência de newsgroups de rede

Utilize certificados com servidores virtuais de NNTP caso se verifiquem as seguintes condições:
  • Tem de clientes que ligam ao Exchange Server 2003 pastas públicas através da utilização de NNTP.
  • Utilizam o NNTP para replicar pastas públicas entre organizações.
Normalmente, ligações a servidores de newsgroups Usenet não suportam a autenticação ou encriptação. Se utilizar certificados com NNTP, tem de criar um segundo servidor virtual de NNTP para esta finalidade.

Como seleccionar uma origem de certificados

Quando obter certificados para utilizar com os servidores virtuais, tem três opções:
  • Pode adquirir certificados individuais de uma AC externa.
  • Poderá ser uma AC subordinada a uma AC externa.
  • Pode implementar e manter a suas próprias estrutura de AC de raiz.
Poderá ser necessário combinar estas abordagens. Por exemplo, pode criar a suas próprias AC estrutura e adquirir certificados individuais de uma AC externa.

A compra certificados a partir de uma autoridade de certificação externa

Pode aplicar a uma AC externa como a VeriSign ou Thawte para certificados que são verificados por uma dos certificados de raiz que são instalados com o Windows 2000. Compre certificados individuais de uma AC externa se as seguintes condições forem verdadeiras:
  • Pretende fornecer conectividade com segurança melhorada para gerais utilizadores da Internet (tal como num ambiente de comércio electrónico).
  • Pretende suportar os utilizadores que têm de ligar de computadores públicos como, por exemplo, quiosques ou cafes de Internet.
  • Não é possível ou não deseja suportar a suas próprias AC ambiente.
Normalmente, o custo de um certificado começa em aproximadamente 600 dólares (divisa dos E.U.A.), tornar este o método menos dispendioso para obter apenas um certificado. Por exemplo, se adquirir um certificado desta forma, empregados podem aceder respectiva caixa de correio através de uma ligação com segurança avançada a partir de qualquer computador que executa o Windows e o Internet Explorer 4.0 e versões posteriores.

Como torne-se uma autoridade de certificação subordinada para uma autoridade de certificação externa

Para concluir esta abordagem, deve definir manualmente como uma AC subordinada que está certificada por uma AC externa. Isto significa que pode emitir vários certificados são fidedignos, uma vez que estão ligadas a certificados disponíveis publicamente em vez de adquirir cada certificado em separado. Ainda tem de manter a suas próprias AC estrutura. O processo de aprovação requer três a seis meses e os custos de um mínimo de ? 50.000 (Estados Unidos moeda). Por exemplo, o Microsoft é uma AC subordinada certificada pela VeriSign.

Considere a tornar-se uma AC subordinada se as seguintes condições forem verdadeiras:
  • Pretende fornecer vários certificados publicamente disponíveis; por exemplo, para assinatura em código controladores de dispositivo.
  • Pode fornecer os conhecimentos e o suporte para implementar e gerir uma AC subordinada.
  • Pretende que a liberdade para criar, gerir e revogar certificados publicamente utilizáveis.

Como implementar e manter a seus próprios estrutura de autoridade de certificação de raiz

Crie o seus próprios estrutura de AC de raiz se verifiquem as seguintes condições:
  • Pode criar uma fiável e eficaz AC de raiz e ter o equipamento para o fazer.
  • Fornece conectividade apenas para utilizadores da sua organização ou para um número limitado de clientes externos, clientes ou computadores.
  • Utilizar certificados para identificar pessoas associando um certificado com uma conta de início de sessão específico.
  • Pretende que a liberdade máxima e a flexibilidade para criar, atribuir e revogar certificados sem referência a qualquer organização externa.
Se implementar e manter uma estrutura de AC (não uma operação trivial), requer os computadores em questão e que manter certificados para estar sempre disponível. Para mais informações sobre como instalar e configurar um servidor de certificados, consulte o Microsoft Windows 2000 Server Resource Kit e ajuda do Windows 2000.

Poderá pretender considerar uma mistura de uma AC externa e a suas próprias AC para abordar os requisitos. Por exemplo, pode utilizar uma AC externa para o e-commerce pública Web site e utilizar a suas próprias AC para verificar identidades dos seus funcionários quando se ligam ao computador do Exchange Server através da Internet.

Depois de obter o certificado ou configurar a AC, tem de instalar os certificados nos servidores virtuais do Exchange Server. Este procedimento é geralmente o mesmo para todos os tipos de servidor, excepto o HTTP servidor virtual. Para instalar certificados nos servidores virtuais POP3, IMAP4, SMTP e NNTP, utilize o Exchange System Manager. Para configurar servidores virtuais de HTTP, utilize o Gestor de serviços Internet (este procedimento não é descrito neste artigo).

Como pedir um certificado a partir de uma autoridade de certificação externa

Este procedimento descreve como instalar certificados de uma AC externa numa situação onde um pedido de certificado tem de estar preparado e enviado para a AC externa. Tem processar o ficheiro de certificado numa sequência diferente.

Nota O seguinte procedimento só se aplica a POP3, IMAP4, SMTP e NNTP. Este artigo não descreve como configurar o HTTP para SSL.
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. Se os Display administrative groups opção está activada, expanda Administrative Groups e expanda First Administrative Group (em que o First Administrative Group é o nome do grupo administrativo).

    Nota Para apresentar grupos administrativos, clique com o botão direito do rato Your_Organization, clique em Propriedades , clique para seleccionar a caixa de verificação Mostrar grupos administrativos , clique duas vezes em OK e reinicie o Exchange System Manager.
  3. Expanda Servers , expanda o Exchange Server contentor que pretende configurar e, em seguida, expanda o contentor protocolos .
  4. Expanda todos os protocolos que pretende configurar, clique com o botão direito do rato a predefinido Protocol_Name servidor virtual objecto e, em seguida, clique em Propriedades .
  5. Clique no separador acesso e, em seguida, clique em certificados .
  6. No Assistente de certificados de servidor Web, clique em seguinte , clique em criar um novo certificado e, em seguida, clique em seguinte .
  7. Clique em preparar o pedido agora, mas enviá-la mais tarde e, em seguida, clique em seguinte .
  8. Escreva um nome apropriado para o certificado na caixa nome ou mantenha a predefinição de predefinido Protocol_Name Virtual Server .
  9. Na lista O comprimento de bits , faça clique sobre o comprimento de bits que pretende utilizar e, em seguida, clique em seguinte .

    Nota Um comprimento de chave mais longo irá afectar o desempenho e, consequentemente, pode ser considerado mais dispendioso.
  10. Na caixa organização e na caixa unidade organizacional , escreva a organização e as informações de unidade organizacional para a AC em que pretende pedir um certificado e, em seguida, clique em seguinte .

    Estas informações estão normalmente disponíveis a partir Web site da AC ou a informação é enviada para quando se registar com a AC.
  11. Na caixa nome comum , escreva o nome comum do site e, em seguida, clique em seguinte .

    Nota Se pretender permitir o acesso a partir da Internet, este nome tem de ser um nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) que pode ser resolvido externamente. Este FQDN, Fully Qualified Domain Name tem de mapear para o endereço IP que está ligado ao servidor virtual.
  12. Na lista País/região , clique em seu país ou o nome de região.
  13. Em Estado/província caixa e em Cidade/Locality , escreva as informações apropriadas para a organização e, em seguida, clique em seguinte .
  14. Na caixa nome do ficheiro , efectue um dos seguintes procedimentos:
    • Escreva um nome e um caminho para a localização onde pretende criar o certificado.
    • Deixe o nome de ficheiro predefinido nesta caixa.
  15. Clique em seguinte .
  16. Reveja as informações que se encontra no ficheiro pedido resumo página. Se algo não estiver correcto, clique em anterior até atingir a página que tem de ser corrigida e, em seguida, clique em seguinte até regressar à página Pedido de resumo de ficheiro e, em seguida, clique em seguinte .
  17. A página final confirma que foi criado um certificado com o nome do ficheiro especificado. A predefinição é name:\certreq.txt de unidade .
  18. Clique em Concluir .

Como instalar um certificado a partir de uma autoridade de certificação externa

Envie o ficheiro pedido de certificado que criou na secção anterior para a AC. Como alternativa, a AC pode ter uma interface baseada na Web que permite submeter o pedido de certificado. Receber um ficheiro com uma extensão de .cer. Depois de receber este ficheiro, reinicie o certificado de servidor Web Assistente para instalar este certificado. Para o fazer, siga estes passos:
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. Se os Display administrative groups opção está activada, expanda Administrative Groups e expanda First Administrative Group (em que o primeiro grupo administrativo é o nome do grupo administrativo).

    Nota Para apresentar grupos administrativos, clique com o botão direito do rato Your_Organization, clique em Propriedades , clique para seleccionar a caixa de verificação Mostrar grupos administrativos , clique duas vezes em OK e reinicie o Exchange System Manager.
  3. Expanda Servers , expanda o Exchange Server contentor que pretende configurar e, em seguida, expanda o contentor protocolos .
  4. Expanda todos os protocolos que pretende configurar, clique com o botão direito do rato a predefinido Protocol_Name servidor virtual objecto e, em seguida, clique em Propriedades .
  5. Clique no separador acesso e, em seguida, clique em certificados .
  6. Depois de reiniciar o Assistente de certificados de servidor da Web e receber notificação de que tem um pedido de certificado pendente, clique em seguinte .
  7. Na página Pedido de certificado pendente , clique em processar o pedido pendente e instalar o certificado e, em seguida, clique em seguinte .
  8. Na caixa de processar um pedido pendente , escreva o caminho do certificado que recebeu de AC externa.
  9. Reveja a página Resumo do certificado e, em seguida, clique em seguinte .

    As informações contidas no certificado incluem que emitiu o certificado, quando o certificado expirar, o que o certificado deve ser utilizada para. O nome amigável do certificado que aparece na página Resumo do certificado está também incluído.
  10. Depois de receber notificação de que o certificado é instalado com êxito no servidor virtual, clique em Concluir .

Como instalar um certificado a partir de um servidor de certificados da Microsoft

Se tiver instalado os serviços de servidor de certificados no Windows 2000 como uma AC de raiz ou como uma AC subordinada, pode enviar o pedido de servidor de certificado da AC online directamente.

Nota Só pode enviar um pedido a uma AC online, se tiver instalado a AC no Active Directory como empresarial, em vez de uma AC autónoma.
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. Se os Display administrative groups opção está activada, expanda Administrative Groups e expanda First Administrative Group (em que o First Administrative Group é o nome do grupo administrativo).

    Nota Para apresentar grupos administrativos, clique com o botão direito do rato Your_Organization, clique em Propriedades , clique para seleccionar a caixa de verificação Mostrar grupos administrativos , clique duas vezes em OK e reinicie o Exchange System Manager.
  3. Expanda Servers , expanda o Exchange Server contentor que pretende configurar e, em seguida, expanda o contentor protocolos .
  4. Expanda todos os protocolos que pretende configurar, clique com o botão direito do rato a predefinido Protocol_Name servidor virtual objecto e, em seguida, clique em Propriedades .
  5. Clique no separador acesso e, em seguida, clique em certificados .
  6. No Assistente de certificados de servidor Web, clique em seguinte , clique em criar um novo certificado e, em seguida, clique em seguinte .
  7. Na página adiada ou imediata pedido , clique em Enviar a requisição imediatamente a uma autoridade de certificação online e, em seguida, clique em seguinte .
  8. Na caixa nome , escreva um nome adequado para identificar este certificado ou aceitar o nome predefinido predefinição Protocol_Name servidor virtual.
  9. Na lista O comprimento de bits , faça clique sobre o comprimento de bits que pretende utilizar e, em seguida, clique em seguinte .

    Nota Comprimentos de chaves mais longos afectar negativamente o desempenho.
  10. Na caixa organização e na caixa unidade organizacional , escreva a organização e as informações de unidade organizacional para o servidor e, em seguida, clique em seguinte .
  11. Na caixa nome comum , escreva o nome comum do site e, em seguida, clique em seguinte .

    Isto corresponde do nome de domínio DNS totalmente qualificado (FQDN, Fully Qualified Domain Name) que mapeia para o endereço IP do servidor virtual protocolo relevantes que está a utilizar este certificado. Se os utilizadores são ligação a este servidor virtual a partir da Internet, este nome tem de ser um FQDN externamente passíveis de resolução.
  12. Na lista País/região , clique em seu país ou o nome de região.
  13. Em Estado/província caixa e em Cidade/Locality , escreva as informações apropriadas para a organização e, em seguida, clique em seguinte .
  14. Em Escolha uma autoridade de certificação página, reveja a AC online para a organização e, em seguida, clique em seguinte .
  15. Reveja os detalhes que introduziu no assistente na página de Submissão de pedido de certificado . Se algo não estiver correcto, clique em anterior até atingir a página que tem de ser corrigida e, em seguida, clique em seguinte até regressar à página Pedido de resumo de ficheiro e, em seguida, clique em seguinte .
  16. A página final confirma que um certificado é instalado no servidor virtual que seleccionou.
  17. Clique em Concluir .

Como activar o Exigir canal seguro opção

Depois de instalar o certificado, pode activar a opção Requerer canal seguro para os protocolos POP3, IMAP4 e SMTP.

Nota O protocolo NNTP não tem uma definição para activar a opção Exigir canal seguro .
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. Se os Display administrative groups opção está activada, expanda Administrative Groups e expanda First Administrative Group (em que o primeiro grupo administrativo é o nome do grupo administrativo).

    Nota Para apresentar grupos administrativos, clique com o botão direito do rato Your_Organization, clique em Propriedades , clique para seleccionar a caixa de verificação Mostrar grupos administrativos , clique duas vezes em OK e reinicie o Exchange System Manager.
  3. Expanda Servers , expanda o Exchange Server contentor que pretende configurar e, em seguida, expanda o contentor protocolos .
  4. Expanda todos os protocolos que pretende configurar, clique com o botão direito do rato a predefinido Protocol_Name servidor virtual objecto e, em seguida, clique em Propriedades .
  5. Clique no separador acesso e, em seguida, clique em certificados .
  6. Caixa de verificação clique para seleccionar o Exigir canal seguro .

    Além disso, pode clicar para seleccionar o Exigir 128 bits encriptação caixa. No entanto, quaisquer computadores cliente que estabelecem ligação e o computador do Exchange Server tem de suportar encriptação de 128 bits.
  7. Clique em OK e, em seguida, clique em OK para aceitar as alterações e fechar as propriedades do servidor virtual.

Como confirmar se o certificado está instalado correctamente

Para confirmar que o servidor virtual estiver a utilizar SSL encriptação que o certificado está instalado correctamente, configurar o Outlook Express para ligar utilizando um canal seguro e, em seguida, utilize o Monitor de rede para verificar que os pacotes de protocolo são encriptados. Para o fazer, siga estes passos:
  1. No Microsoft Outlook Express, clique em Ferramentas e, em seguida, clique em contas .
  2. Clique no separador correio (para POP3, IMAP4 ou SMTP) ou no separador newsgroups (NNTP).
  3. Clique duas vezes a conta do Exchange Server para o protocolo relevante e clique no separador Avançadas .
  4. Clique para seleccionar a caixa de verificação este servidor requer uma ligação segura (SSL) .

    Se seleccionar esta caixa, o POP3 número_da_porta muda de 110 para 995, a porta IMAP4 muda de 143 para 993, a porta NNTP é alterado de 119 para 563 e a porta SMTP permanece na porta 25.
  5. Clique em OK e, em seguida, clique em Fechar .
  6. Execute a captura do Monitor de rede e, em seguida, ligar ao computador do Exchange Server utilizando a conta apenas configurou. Quando examinar os pacotes, certifique-se de que os pacotes para o protocolo configurou segurança são encriptados.

Referências

Para mais informações sobre o serviço servidor de certificados, consulte o Microsoft Windows 2000 Server Resource Kit e Microsoft Exchange 2000 Server Resource Kit.

Os produtos de outros fabricantes que são discutidos neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, expressa ou implícita, relativamente ao desempenho ou fiabilidade destes produtos.

Propriedades

Artigo: 823024 - Última revisão: 25 de outubro de 2007 - Revisão: 1.3
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Palavras-chave: 
kbmt kbhowto KB823024 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 823024

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com