Aktivieren einer PKI auf dem Edge-Transport-Server für die Domänensicherheit

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-08-28

Domänensicherheit beruht auf der Verwendung von MTLS (Mutual Transport Layer Security) für die Authentifizierung. Die erfolgreiche gegenseitige TLS-Authentifizierung verwendet eine vertrauenswürdige, überprüfte X.509-Zertifikatkette für die TLS-Zertifikate, die für Domänensicherheit verwendet werden.

Bevor Sie Domänensicherheit erfolgreich bereitstellen können, müssen Sie daher Ihren Edge-Transport-Server und die X.509-PKI (Public-Key-Infrastrukur) so konfigurieren, dass Zertifikatvertrauensstellungen und Zertifikatüberprüfung ermöglicht werden.

Wichtig

Es würde den Rahmen dieses Themas sprengen, eine ausführliche Darstellung von Kryptografie und Zertifikattechnologien und -konzepten zur Verfügung zu stellen. Bevor Sie eine Sicherheitslösung bereitstellen, die Kryptografie und X.509-Zertifikate verwendet, wird empfohlen, sich mit den Grundkonzepten von Vertrauensstellungen, Authentifizierung, Verschlüsselung und dem Austausch öffentlicher und privater Schlüssel vertraut zu machen, weil sich diese Konzepte auf Kryptografie beziehen. Weitere Informationen finden Sie in den Verweisen, die am ende dieses Themas aufgelistet werden.

Konfigurieren der Stammzertifizierungsstellen

Damit ein bestimmtes X.509-Zertifikat überprüft werden kann, muss die Stammzertifizierungsstelle als vertrauenswürdig eingestuft werden, die das Zertifikat ausgestellt hat. Eine Stammzertifizierungsstelle ist die vertrauenswürdigste Stammzertifizierungsstelle und befindet sich auf der obersten Ebene der Stammzertifizierungsstellen. Die Stammzertifizierungsstelle verfügt über ein selbstsigniertes Zertifikat. Wenn Sie eine Anwendung ausführen, die Zertifikatauthentifizierung verlangt, muss jedes Zertifikat über eine Zertifikatkette verfügen, die in einem Zertifikat im vertrauenswürdigen Stammcontainer des lokalen Computers endet. Der vertrauenswürdige Stammcontainer enthält Zertifikate von Stammzertifizierungsstellen.

Damit domänengesicherte E-Mail-Nachrichten erfolgreich gesendet werden können, müssen Sie in der Lage sein, das X.509-Zertifikat des empfangenden Servers zu überprüfen. Wenn ein Benutzer domänengesicherte E-Mail-Nachrichten an Ihre Organisation sendet, muss der sendende Server ebenso in der Lage sein, Ihr Zertifikat zu überprüfen.

Es sind zwei Arten von vertrauenswürdigen Stammzertifizierungsstellen verfügbar, die Sie zum Implementieren von Domänensicherheit verwenden können: integrierte Stammzertifizierungsstellen von Drittanbietern und private Stammzertifizierungsstellen.

Stammzertifizierungsstellen von Drittanbietern

Microsoft Windows enthält eine Sammlung von integrierten Stammzertifizierungsstellen von Drittanbietern. Wenn Sie die von diesen Stammzertifizierungsstellen von Drittanbietern ausgestellten Zertifikate als vertrauenswürdig einstufen, bedeutet dies, dass Sie von diesen Zertifizierungsstellen ausgestellte Zertifikate Überprüfen können. Wenn Ihre Organisation und Ihre Partnerorganisationen die Windows-Standardinstallation verwenden und die integrierten Stammzertifizierungsstellen von Drittanbietern als vertrauenswürdig einstufen, entsteht die Vertrauensstellung automatisch. In diesem Szenario ist keine weitere Konfiguration der Vertrauensstellung erforderlich.

Private vertrauenswürdige Stammzertifizierungsstellen

Eine private vertrauenswürdige Stammzertifizierungsstelle ist eine Stammzertifizierungsstelle, die von einer privaten oder internen PKI bereitgestellt wurde. Wenn Ihre Organisation oder die Organisation, mit der Sie domänengesicherte E-Mail-Nachrichten austauschen, eine interne PKI mit einem eigenen Stammzertifikat bereitgestellt hat, müssen Sie zusätzliche Konfigurationen der Vertrauensstellung durchführen.

Wenn private Stammzertifizierungsstellen verwendet werden, müssen Sie den Windows-Informationsspeicher für vertrauenswürdige Stammzertifikate auf dem Edge-Transport-Server für Domänensicherheit aktualisieren, damit die ordnungsgemäße Funktion gewährleistet ist.

Sie können Vertrauensstellungen auf zwei Arten konfigurieren: direkte Stammvertrauensstellung und übergreifende Zertifizierung. Sie müssen sich vor Augen führen, dass der Transportdienst jedes Zertifikat, das er entnimmt, überprüft, bevor er es verwendet. Wenn Sie eine private Stammzertifizierungsstelle zum Ausstellen Ihrer Zertifikate verwenden, müssen Sie daher die private Stammzertifizierungsstelle in den Informationsspeicher für vertrauenswürdige Stammzertifikate auf jedem Edge-Transport-Server aufnehmen, der domänengesicherte E-Mail-Nachrichten sendet oder empfängt.

Direkte Stammvertrauensstellung

Wenn Sie ein Zertifikat als vertrauenswürdig einstufen möchten, das von einer privaten Stammzertifizierungsstelle ausgestellt wurde, können Sie dieses Stammzertifikat manuell dem Informationsspeicher für vertrauenswürdige Stammzertifikate auf dem Edge-Transport-Servercomputer hinzufügen. Weitere Informationen zum manuellen Hinzufügen von Zertifikaten zum lokalen Zertifikatspeicher finden Sie in der Hilfedatei zum Zertifikat-Manager-Snap-In in der Microsoft Management Console (MMC).

Übergreifende Zertifizierung

Übergreifende Zertifizierung findet statt, wenn eine Zertifizierungsstelle ein Zertifikat signiert, das von einer anderen Zertifizierungsstelle generiert wird. Übergreifende Zertifizierung wird verwendet, um Vertrauensstellungen zwischen PKIs herzustellen. Im Kontext der Domänensicherheit können Sie, wenn Sie eine eigene PKI verwenden, ein übergreifendes Zertifikat für die Partnerzertifizierungsstelle unter Ihrer Stammzertifizierungsstelle erstellen, anstatt eine direkte manuelle Vertrauensstellung für eine Stammzertifizierungsstelle eines Partners mit einer internen PKI zu verwenden. In diesem Fall wird die Vertrauensstellung eingerichtet, weil das übergreifende Zertifikat letztlich über die Zertifikatkette auf Ihre vertrauenswürdige Stammzertifizierungsstelle verweist.

Wenn Sie eine interne PKI nutzen und übergreifende Zertifizierung verwenden, sollte Ihnen bewusst sein, dass Sie den Stammzertifikatspeicher auf jedem Edge-Transport-Server manuell aktualisieren müssen, der domänengesicherte E-Mail-Nachrichten empfängt, damit jeder Edge-Transport-Server Zertifikate überprüfen kann, wenn er E-Mail-Nachrichten von Partnern empfängt, die durch übergreifende Zertifikate vertrauenswürdig sind.

Weitere Informationen zum manuellen Hinzufügen von Zertifikaten zum lokalen Zertifikatspeicher finden Sie in der Hilfedatei zum Zertifikat-Manager-Snap-In in MMC.

Konfigurieren des Zugriffs auf die Zertifikatsperrliste

Immer, wenn der Transportdienst ein Zertifikat abruft, überprüft er die Zertifikatkette und das Zertifikat. Die Überprüfung des Zertifikats ist ein Vorgang, bei dem viele Attribute des Zertifikats bestätigt werden. Die meisten dieser Attribute können auf dem lokalen Computer durch die Anwendung bestätigt werden, die das Zertifikat anfordert. Die beabsichtigte Verwendung des Zertifikats, die Ablaufdatumsangaben auf dem Zertifikat und ähnliche Attribute können z. B. außerhalb des Kontexts einer PKI überprüft werden. Die Überprüfung, ob das Zertifikat gesperrt wurde, muss jedoch mit der Zertifizierungsstelle überprüft werden, die das Zertifikat ausgestellt hat. Aus diesem Grund stellen die meisten Zertifizierungsstellen der Öffentlichkeit eine Zertifikatsperrliste zur Verfügung, um den Sperrstatus zu überprüfen.

Damit Domänensicherheit erfolgreich verwendet werden kann, müssen Zertifikatsperrlisten für von Ihnen oder Ihren Partnern verwendete Zertifizierungsstellen für die Edge-Transport-Server verfügbar sein, die domänengesicherte E-Mail-Nachrichten senden und empfangen. Wenn ein Sperrüberprüfungsfehler auftritt, gibt der empfangende Exchange-Server eine vorübergehende Protokollzurückweisung für die Nachricht aus. Ein vorübergehender Sperrfehler kann auftreten. Es kann z. B. ein Fehler des Webservers vorliegen, der zum Veröffentlichen der Zertifikatsperrliste verwendet wird. Oder die Sperrüberprüfung verursacht durch allgemeine Probleme der Netzwerkverbindung zwischen dem Edge-Transport-Server und dem CRL-Verteilungspunkt einen Fehler. Aus diesem Grund bewirken vorübergehende Sperrfehler nur temporäre Verzögerungen der Nachrichtenzustellung, weil der sendende Server später einen Wiederholungsversuch unternimmt. Die Überprüfung der Zertifikatsperrliste ist jedoch für die erfolgreiche Übermittlung domänengesicherter E-Mail-Nachrichten erforderlich.

Sie müssen die folgenden Szenarien ermöglichen:

  • Ihre Edge-Transport-Server müssen in der Lage sein, auf Zertifikatsperrlisten für externe Zertifizierungsstellen zuzugreifen.   Jeder Partner, mit dem Sie domänengesicherte E-Mail-Nachrichten austauschen, muss öffentlich verfügbare Zertifikatsperrlisten bereitstellen, die der Edge-Transport-Server Ihrer Organisation abrufen kann. In einigen Fällen sind Zertifikatsperrlisten nur mit LDAP (Lightweight Directory Access Protocol) verfügbar. In den meisten Fällen werden bei öffentlichen Zertifizierungsstellen CRLs über HTTP veröffentlicht. Stellen Sie sicher, dass die entsprechenden ausgehenden Ports und Proxys so konfiguriert sind, dass der Edge-Transport-Server die Zertifikatsperrliste abrufen kann. Sie können überprüfen, welche Protokolle ein bestimmter CRL-Verteilungspunkt akzeptiert, indem Sie ein Zertifikat in MMC öffnen und das Feld CRL-Verteilungspunkte anzeigen.

  • Sie müssen die Zertifikatsperrliste für die Zertifizierungsstelle öffentlich bereitstellen, die Ihre Zertifikate ausstellt.   Sie müssen sich bewusst sein, dass selbst dann, wenn ein Edge-Transport-Server ein Zertifikat aus Ihrer eigenen Organisation abruft, die Zertifikatkette überprüft wird, um das Zertifikat zu überprüfen. Aus diesem Grund muss die Zertifikatsperrliste für Ihre Zertifizierungsstelle Ihren eigenen Edge-Transport-Servern zur Verfügung stehen. Außerdem müssen alle Partner, mit denen Sie domänengesicherte E-Mail-Nachrichten austauschen, in der Lage sein, auf die Zertifikatsperrliste für die Zertifikatstelle zuzugreifen, die Ihre Zertifikate ausstellt.

Konfigurieren der Proxyeinstellungen für WinHTTP

Exchange 2007-Transportserver basieren auf den zugrunde liegenden Microsoft Windows-HTTP-Diensten (WinHTTP) zur Verwaltung des gesamten HTTP- und HTTPS-Datenverkehrs. Sowohl Hub-Transport-Server als auch Edge-Transport-Server können HTTP für den Zugriff auf Updates für standardmäßige Antispamfilteraktualisierungen von Microsoft Exchange 2007 und den Microsoft Forefront Security für Exchange Server-Antispam-Aktualisierungsdienst sowie für die Überprüfung der Zertifikatssperrliste verwenden.

Weitere Informationen finden Sie unter Konfigurieren der Proxyeinstellungen für WinHTTP.

Testen der PKI- und Proxykonfiguration

Wenn Sie Ihre PKI- und Proxykonfiguration für einen bestimmten Edge-Transport-Server überprüfen möchten, verwenden Sie Certutil.exe, um die Zertifikatkette für das Edge-Transport-Server-Zertifikat zu überprüfen. Certutil.exe ist ein Befehlszeilentool, das als Teil der Zertifikatdienste in Betriebssystemen des Typs Windows Server 2003 installiert wird. Weitere Informationen finden Sie unter Testen der PKI- und Proxykonfiguration.

Weitere Informationen

Weitere Informationen über Zertifizierungsstellen, die aktuell Exchange-spezifische Websites betreiben, finden Sie im Microsoft Knowledge Base-Artikel 929395, Unified Communications Certificate Partners for Exchange 2007 and for Communications Server 2007.

Weitere Informationen zu Kryptografie und Zertifikattechnologien und -konzepten finden Sie in den folgenden englischsprachigen Veröffentlichungen: