Informazioni su SSL per Accesso client

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-04-06

SSL (Secure Sockets Layer) è un metodo di protezione delle comunicazioni tra un client e un server. Per un computer che esegue Microsoft Exchange Server 2007 con il ruolo del server Accesso client installato, SSL viene utilizzato per garantire la protezione delle comunicazioni tra il server e i client. I client comprendono dispositivi mobili, computer all'interno di una rete dell'organizzazione e computer al di fuori di una rete dell'organizzazione. Questi comprendono sia client che dispongono di connessioni di rete privata virtuale (VPN) sia client che non ne dispongono.

Per impostazione predefinita, quando si installa Exchange 2007, le comunicazioni client vengono crittografate mediante SSL quando si utilizza Microsoft Office Outlook Web Access Microsoft Exchange ActiveSync, e Outlook via Internet. Per impostazione predefinita, i protocolli POP3 (Post Office Protocol versione 3) e IMAP4 (Internet Message Access Protocol versione 4 rev1) non sono configurati per comunicare tramite SSL.

SSL prevede l'utilizzo di certificati digitali. Questo argomento fornisce una panoramica dei diversi tipi di certificati digitali e informazioni su come configurare un server Accesso client per l'utilizzo di tali tipi di certificati digitali.

Panoramica sui certificati digitali

I certificati digitali sono file elettronici che funzionano come password in linea in grado di verificare l'identità di un utente o di un computer. Vengono utilizzati per creare un canale crittografato mediante SSL che viene usato per le comunicazioni dei client. Un certificato è una dichiarazione digitale emessa da un'autorità di certificazione (CA) che si fa garante dell'identità del titolare del certificato e consente a terzi di comunicare in modo sicuro utilizzando la crittografia.

I certificati digitali eseguono le seguenti operazioni:

• Garantiscono che i titolari, ossia persone, siti Web e anche risorse di rete quali i router, siano effettivamente chi o cosa dichiarano di essere.

• Servono a proteggere i dati scambiati in linea da furti o alterazioni.

I certificati digitali possono essere rilasciati da una CA di terze parti attendibile o da un'infrastruttura a chiave pubblica (PKI) di Microsoft Windows mediante i servizi di certificato, oppure possono essere autofirmati. Ogni tipo di certificato ha i suoi vantaggi e svantaggi. I certificati sono inalterabili e non possono essere contraffatti.

I certificati possono essere rilasciati per diversi usi. Tra questi sono compresi autenticazione utente Web, autenticazione server Web, Secure/Multipurpose Internet Mail Extensions (S/MIME), Internet Protocol security (IPsec), Transport Layer Security (TLS) e firma dei codici.

Un certificato contiene una chiave pubblica e la associa all'identità della persona, del computer o del servizio che possiede la chiave privata corrispondente. La chiave pubblica e quella privata sono utilizzate dal client e dal server per crittografare i dati prima di trasmetterli. Per utenti, computer e servizi che si basano su Microsoft Windows l'attendibilità di una CA viene stabilita quando c'è una copia del certificato radice nell'archivio certificati radice attendibili e il certificato contiene un percorso di certificazione valido. Perchè il certificato sia valido non deve essere stato revocato e il periodo di validità non deve essere scaduto.

Tipi di certificati

Esistono tre tipi principali di certificati digitali: certificati autofirmati, certificati generati mediante PKI di Windows e certificati di terze parti.

Certificati autofirmati

Quando si installa Exchange 2007, viene automaticamente configurato un certificato autofirmato. Un certificato autofirmato viene firmato dall'applicazione che lo ha creato. L'oggetto e il nome del certificato corrispondono. L'autore e l'oggetto sono definiti nel certificato. Un certificato autofirmato consentirà ad alcuni protocolli client di utilizzare SSL per le comunicazioni. Exchange ActiveSync e Outlook Web Access sono in grado di stabilire una connessione SSL utilizzando un certificato autofirmato. Outlook via Internet non funziona con un certificato autofirmato. I certificati autofirmati devono essere copiati manualmente nell'archivio certificati radice attendibili sul dispositivo mobile o sul computer client. Quando un client si collega ad un server mediante SSL e il server presenta un certificato autofirmato, il client viene avvertito di verificare che il certificato sia stato rilasciato da un'autorità di certificazione attendibile. Il client deve ritenere attendibile l'autorità di certificazione. Se il client continua, le comunicazioni mediante SSL possono continuare.

Spesso le organizzazioni più piccole decidono di non utilizzare un certificato di terze parti o di installare la propria PKI per emettere i certificati a causa dei costi, perchè l'amministratore non possiede l'esperienza e la conoscenza necessarie per creare una gerarchia di certificati o per entrambi i motivi. Quando si utilizzano certificati autofirmati, il costo è minimo e la configurazione è semplice. Tuttavia, stabilire un'infrastruttura per la gestione del ciclo di vita, il rinnovo, la gestione attendibile e la revoca dei certificati è molto più difficile con i certificati autofirmati.

Certificati di infrastruttura a chiave pubblica di Windows

Il secondo tipo di certificato è un certificato generato da un'infrastruttura a chiave pubblica di Windows. Un'infrastruttura a chiave pubblica (PKI) è un sistema di certificati digitali, di autorità di certificazione (CA) e di autorità di registrazione (RA) che verificano e autenticano la validità di ciascuna parte coinvolta in una transazione elettronica, utilizzando la crittografia a chiave pubblica. Quando si implementa una CA in un'organizzazione che utilizza il servizio Active Directory, si fornisce un'infrastruttura per la gestione del ciclo di vita, il rinnovo, la gestione attendibile e la revoca dei certificati. Tuttavia, la distribuzione di server e infrastrutture per creare e gestire certificati generati da un'infrastruttura a chiave pubblica di Windows, implica dei costi aggiuntivi.

È necessario che i Servizi certificati distribuiscano un'infrastruttura di chiave pubblica di Windows e possono essere installati mediante Installazione applicazione nel Pannello di controllo. È possibile installare Servizi certificati su qualsiasi server nel dominio.

Se si ottengono certificati da una CA di dominio basata su Windows, è possibile utilizzarla per richiedere o firmare certificati da emettere sui propri server o computer in rete. Ciò consente di utilizzare una PKI, simile all'utilizzo di un fornitore di certificati di terze parti ma meno costosa. Poiché non è possibile distribuire pubblicamente certificati PKI, come altri tipi di certificati, quando una CA di una PKI firma il certificato del richiedente utilizzando la chiave privata, il richiedente viene verificato. La chiave pubblica di questa CA è parte del certificato. Un server che ha questo certificato nell'archivio certificati radice attendibili può utilizzare la chiave pubblica per decrittografare il certificato del richiedente e autenticarlo.

Le procedure per la distribuzione di un certificato generato mediante PKI sono simili a quelle necessarie per distribuire un certificato autofirmato. È sempre necessario installare una copia del certificato radice attendibile dalla PKI nell'archivio certificati radice attendibili dei computer o dei dispositivi mobili che si desidera predisporre per una connessione SSL a Microsoft Exchange.

Una PKI di Windows consente alle organizzazioni di pubblicare i propri certificati. I client possono richiedere e ricevere i certificati da una PKI di Windows sulla rete interna. La PKI di Windows può rinnovare o revocare certificati.

Per ulteriori informazioni, vedere i seguenti argomenti:

• Per ulteriori informazioni sui certificati, vedere Public Key Infrastructure for Windows Server 2003 (informazioni in lingua inglese).

• Per ulteriori informazioni sulle modalità migliori di implementazione di una infrastruttura a chiave pubblica di Windows, vedere Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure.

• Per ulteriori informazioni sulla distribuzione di una PKI basata su Windows, vedere Windows Server 2003 PKI Operations Guide.

Certificati attendibili di terze parti

I certificati di terze parti o commerciali sono certificati generati da una CA di terze parti o commerciale e acquistati dall'utente per l'utilizzo sui propri server di rete. Poiché i certificati autofirmati e quelli basati su PKI non sono automaticamente ritenuti attendibili dal dispositivo mobile o dal computer client, occorre accertarsi di importare il certificato nell'archivio certificati radice attendibili su computer e dispositivi client. I certificati di terze parti o commerciali non presentano questo problema. La maggior parte dei certificati CA commerciali sono già attendibili perchè il certificato risiede già nell'archivio certificati radice attendibili. Poiché l'emittente è attendibile, lo sarà anche il certificato. L'utilizzo di certificati di terze parti semplifica molto la distribuzione.

Per organizzazioni più grandi o per organizzazione che devono distribuire i certificati pubblicamente, l'utilizzo di un certificato di terze parti o commerciale è la soluzione migliore, anche se esistono dei costi associati al certificato. I certificati commerciali potrebbero non essere la soluzione migliore per organizzazioni più piccole e di medie dimensioni e si può decidere di utilizzare le altre opzioni di certificato disponibili.

Scelta del tipo di certificato

Al momento di scegliere il tipo di certificato da installare ci sono diversi fattori da prendere in considerazione. Per essere valido un certificato deve essere firmato. Può essere autofirmato o firmato da una CA. Un certificato autofirmato presenta delle limitazioni. Ad esempio, non tutti i dispositivi mobili permettono ad un utente di installare un certificato digitale nell'archivio certificati radice attendibili. La possibilità di installare certificati su dispositivi mobili dipende dal produttore del dispositivo o dall'operatore del servizio mobile. Alcuni produttori e operatori di servizi mobili disabilitano l'accesso all'archivio certificati radice attendibili. In questo caso, né un certificato autofirmato né un un certificato proveniente da una CA di una PKI di Windows può essere installato sul dispositivo mobile.

La maggior parte dei dispositivi mobili ha già installati diversi certificati attendibili di terze parti. Per un'esperienza utente migliore, implementare l'autenticazione basata sui certificati per Exchange ActiveSync utilizzando dispositivi che eseguono Windows Mobile 6.0 e un certificato digitale proveniente da una CA di terze parti attendibile.

Ulteriori informazioni

Per ulteriori informazioni, vedere i seguenti argomenti:

• Gestione di SSL per un server Accesso client

• Come configurare i certificati SSL per utilizzare più nomi host del server Accesso client

• Come installare certificati in una periferica con tecnologia Windows Mobile

• Come configurare le directory virtuali di Outlook Web Access per l'utilizzo di SSL