Como usar certificados com servidores virtuais no Exchange Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 823024 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo passo a passo descreve como instalar e usar certificados com o Exchange Server 2003. Exchange Server 2003 incorpora um número de servidores virtuais que são responsáveis por servir conexões de entrada e saídas para um número de serviços de Internet padrão. Esses serviços são:
  • Post Office Protocol versão 3 (POP3)
  • Internet Message Access Protocol versão 4 (IMAP4)
  • Protocolo de transferência de correio simples (SMTP)
  • Protocolo de transferência de notícias de rede (NNTP)
Você pode instalar certificados nesses servidores virtuais para permitir o uso de comunicação criptografada.

Observação Exchange Server 2003 também inclui um protocolo de transferência de hipertexto (HTTP) servidor virtual. No entanto, você deve configurar este servidor virtual usando o Gerenciador de serviços de Internet. Esse procedimento não descrito neste artigo. Para obter informações adicionais sobre como usar o Gerenciador de serviços de Internet para configurar um servidor virtual HTTP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
299875COMO: Implementar SSL em um computador Windows 2000 IIS 5.0

Requisitos

A lista a seguir descreve recomendado de hardware, software, infra-estrutura de rede e service packs:
  • Microsoft Windows 2000 Server com Service Pack 3 (SP3)
  • Serviço de diretório Microsoft Active Directory
  • Exchange Server 2003
  • Microsoft Outlook Express 5 ou posterior (para fins de teste)
Este artigo pressupõe que você esteja familiarizado com os seguintes tópicos:
  • Exchange System Manager
  • TCP/IP
  • Como configurar e usar o Monitor de rede Microsoft e como configurar filtros de captura

O que é um certificado?

Um certificado é usado para ajudar a proteger a conexão entre duas partes em redes públicas. Os certificados são declarações assinadas digitalmente que contêm uma chave pública e o nome do proprietário ou a entidade do certificado. Os certificados também são assinados pelo corpo da emissão ou a autoridade de certificação (CA). Se a CA assina o certificado, a autoridade de certificação confirma que a chave privada que está associada à chave pública do certificado está em posse do usuário que é nomeado no certificado.

Certificados fornecem um mecanismo para estabelecer uma relação entre uma chave pública e a entidade que possui a chave particular correspondente. A maioria dos certificados se baseiam a International Telecommunication Union Telecommunication Standardization Sector (ITU-T) X.509 versão 3 padrão.

Você pode usar certificados para executar as seguintes tarefas:
  • Para fornecer segurança aprimorada a comunicação entre dois usuários ou dois computadores para ajudar a impedir a exibição não autorizada da mensagem ou o conteúdo do arquivo que é transmitido.
  • Para assinar digitalmente uma troca eletrônica (como uma transferência de arquivo ou uma mensagem) para verificar que ele não foi alterado em trânsito.
  • Para verificar a identidade de um indivíduo ou identidade de um computador.
  • Para criptografar dados contidos em um sistema de armazenamento, como em um disco rígido ou em uma fita.
  • Para certificar que um arquivo como um driver de dispositivo foi aprovado e não foi alterado entre o teste e a instalação processa.
Normalmente, os certificados usam a extensão .cer e têm as mesmas propriedades que os outros arquivos no computador. Normalmente, os certificados residem em armazenamentos de certificados no computador. O Windows 2000 inclui certificados de um número de públicas X.509 versão 3 CAs, como VeriSign, Thawte e SecureNet. O Windows 2000 também tem um servidor de certificado interno serviço que é compatível com X.509 versão 3. O serviço de servidor de certificado permite que você criar sua própria CA e distribuir certificados para uso em sua organização e por clientes externos ou computadores. Essa funcionalidade oferece flexibilidade quando você implanta certificados.

Como usar certificados com servidores virtuais

Lançar servidores virtuais do Office Protocol versão 3 e servidores virtuais do Internet Message Access Protocol versão 4

Os servidores virtuais POP3 e os servidores virtuais IMAP4 fornecem os serviços que os clientes POP3 ou IMAP4 clientes (como o Microsoft Outlook Express) exigem obtenha mensagens de email em seu computador Exchange Server 2003. Convém usar o POP3 ou IMAP4 para obter mensagens de email do Exchange Server 2003 se velocidades de conexão forem muito lentas e se os usuários não exigirem a funcionalidade completa do programa cliente Outlook.

No entanto, POP3 e IMAP4 usar texto não criptografado para envio de mensagens e autenticação. Se você adicionar um certificado a servidores virtual de POP3 ou os servidores virtuais IMAP4, você pode oferecer criptografia Secure Sockets Layer (SSL). Quando você usa criptografia SSL, a seqüência de autenticação e o corpo de mensagem é criptografado em todo o tráfego por redes públicas.

Servidores virtuais do protocolo de transferência de correio simples

Servidores virtuais SMTP fornecem os seguintes serviços, em seus próprios ou em conjunto com um conector SMTP:
  • Email de coleta e entrega para e de SMTP externo servidores.
  • Email roteamento entre grupos de roteamento do Exchange Server.
  • Recepção de correio de clientes POP3/IMAP4.
Talvez não seja capaz de configurar o servidor virtual SMTP que envia e que recebe email com domínios externos usando o conector SMTP do Exchange e a criptografia SSL. A maioria dos servidores de SMTP na Internet não dão suporte SSL criptografia; no entanto, se utilizar SMTP como o POP3 e o mecanismo de entrega de mensagem de email IMAP4, você deve criptografar essas transações. Isso é especialmente verdadeiro se você já tiver configurado a SSL para o processo de coleta de mensagem de email IMAP4 ou POP3.

A Microsoft recomenda que você crie dois SMTP separado entrega de mensagem de email de servidores virtuais para uso com grupos de roteamento do Exchange Server e para o POP3 e IMAP4. Se você configurar ambos os servidores virtuais com certificados e criptografia SSL, você pode usar o servidor SMTP virtual padrão para se conectar a domínios externos por meio do conector SMTP.

Servidores virtuais de protocolo de transferência de hipertexto

Normalmente, você utiliza certificados com servidores virtuais HTTP (Hypertext Transfer Protocol) para fornecer suporte para usuários que usam o Microsoft Outlook Web Access (OWA) para recuperar suas mensagens de email. Para essa finalidade, talvez seja melhor obter um certificado de terceiros. Com um certificado de terceiros, o usuários podem se conectar a suas caixas de correio de computadores públicos, como aqueles que você pode encontrar no quiosques ou cibercafés.

Servidores virtuais de protocolo de transferência de notícias de rede

Use certificados com servidores virtuais NNTP se as seguintes condições forem verdadeiras:
  • Você tem clientes que se conectar ao Exchange Server 2003 pastas públicas usando NNTP.
  • Você utiliza NNTP para replicar pastas públicas entre organizações.
Normalmente, conexões com servidores do grupo de notícias de Usenet não suportam autenticação ou criptografia. Se você usar certificados com NNTP, você deve criar um segundo servidor virtual NNTP para essa finalidade.

Como selecionar uma fonte de certificado

Quando você obter certificados para usar com seus servidores virtuais, você tem três opções:
  • Você pode comprar certificados individuais de uma CA externa.
  • Você pode se tornar uma autoridade de certificação subordinada para uma CA externa.
  • Você pode implementar e manter sua própria estrutura de CA raiz.
Talvez você precise combinar essas abordagens. Por exemplo, você pode criar sua própria estrutura de CA e comprar certificados individuais de uma CA externa.

Como comprar certificados de uma autoridade de certificação externa

Você pode aplicar a uma CA externa como VeriSign ou Thawte para certificados que são verificados por um dos certificados raiz que são instalados com o Windows 2000. Comprar certificados individuais de uma CA externa se as seguintes condições forem verdadeiras:
  • Você quer fornecer conectividade com segurança avançada para gerais usuários da Internet (como em um ambiente de e-commerce).
  • Você deseja oferecer suporte a usuários que têm para conectar de computadores públicos, por exemplo, em quiosques ou cibercafés.
  • Você não pode ou deseja oferecer suporte a sua própria CA ambiente.
Normalmente, o custo de um certificado começa em aproximadamente r$ 600 (moeda dos EUA), fazer o método menos caro para obter apenas um certificado. Por exemplo, se você adquirir um certificado dessa maneira, os funcionários podem acessar suas caixas de correio em uma conexão com segurança avançada de qualquer computador que executa o Windows e o Internet Explorer 4.0 e posterior.

Como se tornar uma autoridade de certificação subordinada a uma autoridade de certificação externa

Para concluir essa abordagem, você configurar-se como uma autoridade de certificação subordinada que é certificada por uma CA externa. Isso significa que você pode emitir vários certificados são confiáveis porque eles são vinculados a certificados publicamente disponíveis em vez de comprar cada certificado separadamente. Você ainda deve manter sua própria estrutura de CA. O processo de aprovação exige três a seis meses e custa um mínimo de r$ 50.000 (US moeda). Por exemplo, o Microsoft é uma autoridade de certificação subordinada certificada pela VeriSign.

Considere se tornando uma autoridade de certificação subordinada se as seguintes condições forem verdadeiras:
  • Você deseja fornecer muitos certificados publicamente disponíveis; por exemplo, para drivers de dispositivo assinatura de código.
  • Você pode fornecer a experiência e o suporte para implementar e gerenciar uma autoridade de certificação subordinada.
  • Você quer a liberdade para criar, gerenciar e revogar certificados publicamente utilizáveis.

Como implementar e manter sua estrutura de CA raiz

Crie sua própria estrutura de CA raiz se as seguintes condições forem verdadeiras:
  • Você pode criar uma CA de raiz confiável e eficiente e tem o equipamento para fazer isso.
  • Você fornecer conectividade apenas a usuários em sua própria organização ou a um número limitado de computadores, os clientes ou clientes externos.
  • Você utiliza certificados para identificar indivíduos associando um certificado com uma conta de logon específica.
  • Você deseja a liberdade máxima e a flexibilidade para criar, atribuir e revogar certificados sem referência a qualquer organização externa.
Se você implementa e manter uma estrutura de CA (não uma operação trivial), ele requer os computadores que o problema e que manter certificados para estar sempre disponível. Para obter mais informações sobre como instalar e configurar um servidor de certificados, consulte o Microsoft Windows 2000 Server Resource Kit e Ajuda do Windows 2000.

Convém considerar uma combinação de uma CA externa e sua própria CA para atender os requisitos. Por exemplo, você pode usar uma CA externa para seu público e-commerce site e usar sua própria CA para verificar as identidades de seus funcionários quando se conectarem ao seu computador Exchange Server pela Internet.

Depois de obter seu certificado ou configurar a autoridade de certificação, você deve instalar os certificados nos servidores virtuais Exchange Server. Esse procedimento é geralmente o mesmo para todos os tipos de servidor, exceto para o HTTP servidor virtual. Para instalar certificados nos servidores virtuais POP3, IMAP4, SMTP e NNTP, use o Exchange System Manager. Para configurar servidores virtuais HTTP, use o Gerenciador de serviços de Internet (esse procedimento não é descrito neste artigo).

Como solicitar um certificado a partir de uma autoridade de certificação externa

Este procedimento descreve como instalar certificados de uma CA externa em uma situação onde uma solicitação de certificado deve ser preparada e enviada para a autoridade de certificação externa. Você deve processar o arquivo de certificado em uma seqüência separada.

Observação O procedimento a seguir apenas aplica-se para POP3, IMAP4, SMTP e NNTP. Este artigo não descreve como configurar HTTP para SSL.
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. Se o Display administrative groups opção é ativada, expanda Administrative Groups e, em seguida, expanda First Administrative Group (onde First Administrative Group é o nome do seu grupo administrativo).

    Observação Para exibir grupos administrativos, clique com o botão direito do mouse Your_Organization, clique em Propriedades , clique em para selecionar a caixa de seleção Exibir grupos administrativos , clique em OK duas vezes e reinicie o Exchange System Manager.
  3. Expanda Servers , expanda o Exchange Server recipiente que você deseja configurar e, em seguida, expanda o recipiente Protocols .
  4. Expandir cada protocolo que você deseja configurar, clique com o botão direito do mouse o padrão Protocol_Name servidor virtual objeto e, em seguida, clique em Propriedades .
  5. Clique na guia Access e, em seguida, clique em certificado .
  6. No Assistente de certificado de servidor Web, clique em Avançar , clique em criar um novo certificado e em seguida, clique em Avançar .
  7. Clique em preparar a solicitação agora, mas enviá-la posteriormente e, em seguida, clique em Avançar .
  8. Digite um nome apropriado para o certificado na caixa nome ou deixe a configuração padrão de padrão Protocol_Name Virtual Server .
  9. Na lista Comprimento de bit , clique no comprimento de bit que você deseja usar e, em seguida, clique em Avançar .

    Observação Um comprimento de chave mais irá afetar o desempenho e, como resultado, pode ser considerado mais caro.
  10. Na caixa organização e na caixa unidade organizacional , digite as informações de unidade organizacional para a autoridade de certificação onde você deseja solicitar um certificado e a organização e em seguida, clique em Avançar .

    Essas informações é geralmente disponíveis no site da autoridade de certificação ou as informações são enviadas para você quando registrar com a autoridade de certificação.
  11. Na caixa nome comum , digite o nome comum para o seu site e, em seguida, clique em Avançar .

    Observação Se você deseja permitir o acesso da Internet, esse nome deve ser um nome de domínio totalmente qualificado (FQDN) que pode ser determinado externamente. Este FQDN deve mapear para o endereço IP que está vinculado ao servidor virtual.
  12. Na lista País/região , clique em seu país ou seu nome de região.
  13. No estado/província a caixa e na Cidade/localidade a caixa, digite as informações que é apropriadas para sua organização e, em seguida, clique em Avançar .
  14. Na caixa nome do arquivo , siga um destes procedimentos:
    • Digite um nome e um caminho para o local onde você deseja criar o certificado.
    • Deixe o nome de arquivo padrão nesta caixa.
  15. Clique em Avançar .
  16. Revise as informações que está no solicitação arquivo resumo página. Se algo não estiver correto, clique em Voltar até atingir a página que deve ser corrigida e, em seguida, clique em Avançar até retornar à página de Resumo do arquivo de solicitação e, em seguida, clique em Avançar .
  17. A página final confirma que um certificado com o nome de arquivo especificado foi criado. A configuração padrão é unidade name:\certreq.txt .
  18. Clique em Concluir .

Como instalar um certificado a partir de uma autoridade de certificação externa

Envie o arquivo solicitação de certificado que você criou na seção anterior para a autoridade de certificação. Como alternativa, a autoridade de certificação pode ter uma interface baseada na Web que permite que você enviar a solicitação de certificado. Receber um arquivo que tenha uma extensão .cer. Depois de você receber esse arquivo, reinicie o certificado de servidor Web Wizard para instalar este certificado. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. Se o Display administrative groups opção é ativada, expanda Administrative Groups e, em seguida, expanda First Administrative Group (onde First Administrative Group é o nome do seu grupo administrativo).

    Observação Para exibir grupos administrativos, clique com o botão direito do mouse Your_Organization, clique em Propriedades , clique em para selecionar a caixa de seleção Exibir grupos administrativos , clique em OK duas vezes e reinicie o Exchange System Manager.
  3. Expanda Servers , expanda o Exchange Server recipiente que você deseja configurar e, em seguida, expanda o recipiente Protocols .
  4. Expandir cada protocolo que você deseja configurar, clique com o botão direito do mouse o padrão Protocol_Name servidor virtual objeto e, em seguida, clique em Propriedades .
  5. Clique na guia Access e, em seguida, clique em certificado .
  6. Após o Assistente de certificado de servidor Web for reiniciado e você recebe notificação que você tenha uma solicitação de certificado pendente, clique em Avançar .
  7. Na página Solicitação de certificado pendente , clique em processar a solicitação pendente e instalar o certificado e, em seguida, clique em Avançar .
  8. Na caixa de processar uma solicitação pendente , digite o caminho do certificado que você recebeu da CA externa.
  9. Revise a página Resumo do certificado e, em seguida, clique em Avançar .

    As informações que contidas no certificado incluem quem emitiu o certificado, quando o certificado expira, o que o certificado deverá ser usada para. O nome amigável do certificado que aparece na página Resumo do certificado também está incluído.
  10. Depois de receber notificação de que o certificado é instalado com êxito no servidor virtual, clique em Concluir .

Como instalar um certificado a partir de um Microsoft Certificate Server

Se você tiver instalado serviços do Certificate Server no Windows 2000 como uma autoridade de certificação raiz ou como uma autoridade de certificação subordinada, você pode enviar sua solicitação de servidor de certificado à autoridade de certificação on-line diretamente.

Observação Você só pode enviar uma solicitação para uma CA online se você instalou a autoridade de certificação no Active Directory como autoridade de certificação, uma empresa em vez de uma autoridade de certificação autônoma.
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. Se o Display administrative groups opção é ativada, expanda Administrative Groups e, em seguida, expanda First Administrative Group (onde First Administrative Group é o nome do seu grupo administrativo).

    Observação Para exibir grupos administrativos, clique com o botão direito do mouse Your_Organization, clique em Propriedades , clique em para selecionar a caixa de seleção Exibir grupos administrativos , clique em OK duas vezes e reinicie o Exchange System Manager.
  3. Expanda Servers , expanda o Exchange Server recipiente que você deseja configurar e, em seguida, expanda o recipiente Protocols .
  4. Expandir cada protocolo que você deseja configurar, clique com o botão direito do mouse o padrão Protocol_Name servidor virtual objeto e, em seguida, clique em Propriedades .
  5. Clique na guia Access e, em seguida, clique em certificado .
  6. No Assistente de certificado de servidor Web, clique em Avançar , clique em criar um novo certificado e em seguida, clique em Avançar .
  7. Na página Solicitação atrasada ou imediata , clique em enviar a solicitação imediatamente a uma autoridade de certificação on-line e, em seguida, clique em Avançar .
  8. Na caixa nome , digite um nome apropriado para identificar esse certificado ou aceite o nome padrão de padrão Protocol_Name Virtual Server.
  9. Na lista Comprimento de bit , clique no comprimento de bit que deseja usar e, em seguida, clique em Avançar .

    Observação Comprimentos de chaves mais longos negativamente afetam o desempenho.
  10. Na caixa organização e na caixa unidade organizacional , digite as informações de unidade organizacional para o seu servidor e a organização e em seguida, clique em Avançar .
  11. Na caixa nome comum , digite o nome comum para o seu site e, em seguida, clique em Avançar .

    Isso corresponde ao nome de domínio DNS totalmente qualificado (FQDN) que mapeia para o endereço IP do servidor virtual protocolo relevante que deve usar este certificado. Se os usuários estão se conectando a este servidor virtual da Internet, esse nome deve ser um FQDN externamente resolvível.
  12. Na lista País/região , clique em seu país ou seu nome de região.
  13. No estado/província a caixa e na Cidade/localidade a caixa, digite as informações que é apropriadas para sua organização e, em seguida, clique em Avançar .
  14. Em Escolha uma autoridade de certificação da página, revise a CA online da sua organização e, em seguida, clique em Avançar .
  15. Analise os detalhes inseridos no Assistente na página Certificate Request Submission . Se algo não estiver correto, clique em Voltar até atingir a página que deve ser corrigida e, em seguida, clique em Avançar até retornar à página de Resumo do arquivo de solicitação e, em seguida, clique em Avançar .
  16. A página final confirma que um certificado é instalado no servidor virtual que você selecionou.
  17. Clique em Concluir .

Como ativar na Exigir canal seguro opção

Depois de instalar o certificado, você pode ativar a opção Exigir canal de segurança para os protocolos POP3, IMAP4 e SMTP.

Observação O protocolo NNTP não tem uma configuração para ativar a opção Exigir canal de segurança .
  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. Se o Display administrative groups opção é ativada, expanda Administrative Groups e, em seguida, expanda First Administrative Group (onde First Administrative Group é o nome do seu grupo administrativo).

    Observação Para exibir grupos administrativos, clique com o botão direito do mouse Your_Organization, clique em Propriedades , clique em para selecionar a caixa de seleção Exibir grupos administrativos , clique em OK duas vezes e reinicie o Exchange System Manager.
  3. Expanda Servers , expanda o Exchange Server recipiente que você deseja configurar e, em seguida, expanda o recipiente Protocols .
  4. Expandir cada protocolo que você deseja configurar, clique com o botão direito do mouse o padrão Protocol_Name servidor virtual objeto e, em seguida, clique em Propriedades .
  5. Clique na guia Access e, em seguida, clique em certificado .
  6. Clique para selecionar a Exigir canal de segurança caixa de seleção.

    Além disso, você pode clicar para selecionar o Require 128-bit criptografia caixa. No entanto, tanto o computador Exchange Server quaisquer computadores cliente que se conectam devem oferecer suporte criptografia de 128 bits.
  7. Clique em OK e, em seguida, clique em OK para aceitar as alterações e fechar as propriedades do servidor virtual.

Como confirmar se o certificado está instalado corretamente

Para confirmar que o servidor virtual está usando o SSL criptografia e o certificado está instalado corretamente, configurar o Outlook Express para se conectar usando um canal de segurança aprimorada e, em seguida, use o Monitor de rede para verificar que os pacotes de protocolo são criptografados. Para fazer isso, execute as seguintes etapas:
  1. No Microsoft Outlook Express, clique em Ferramentas e clique em contas .
  2. Clique na guia email (para POP3, IMAP4 ou SMTP) ou na guia notícias (NNTP).
  3. Clique duas vezes a conta do Exchange Server para o protocolo relevante e clique na guia Avançado .
  4. Clique para selecionar a caixa de seleção Este servidor requer uma conexão segura (SSL) .

    Se você marcar esta caixa, o POP3 número da porta muda de 110 para 995, a porta IMAP4 muda de 143 para 993, porta NNTP muda de 119 para 563 e a porta SMTP permanece na porta 25.
  5. Clique em OK e, em seguida, clique em Fechar .
  6. Execute a captura do Monitor de rede e conecte-se ao seu computador Exchange Server usando a conta que você acabou de configurar. Quando você examinar os pacotes, certifique-se que os pacotes para o protocolo onde você tiver configurado segurança são criptografados.

Referências

Para obter mais informações sobre o serviço servidor de certificado, consulte o Microsoft Windows 2000 Server Resource Kit e o Exchange 2000 Server Resource Kit.

Os produtos de terceiros descritos neste artigo são fabricados por empresas que são independentes da Microsoft. A Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos.

Propriedades

ID do artigo: 823024 - Última revisão: quinta-feira, 25 de outubro de 2007 - Revisão: 1.3
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Palavras-chave: 
kbmt kbhowto KB823024 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 823024

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com