Цифровые сертификаты и протокол SSLDigital certificates and SSL

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Secure Sockets Layer (SSL) — это метод для защиты связи между клиентом и сервером. Для Exchange Server 2013 используется протокол SSL для обеспечения безопасности связи между сервером и клиентами. Клиенты быть мобильные телефоны, компьютеры внутри сети организации и за пределами сети организации.Secure Sockets Layer (SSL) is a method for securing communications between a client and a server. For Exchange Server 2013, SSL is used to help secure communications between the server and clients. Clients include mobile phones, computers inside an organization's network, and computers outside an organization's network.

По умолчанию когда вы устанавливаете Exchange 2013 связь с клиентами шифруется с помощью протокола SSL при использовании Outlook Web App, Exchange ActiveSync и мобильного Outlook.By default, when you install Exchange 2013, client communications are encrypted using SSL when you use Outlook Web App, Exchange ActiveSync, and Outlook Anywhere.

Протокол SSL необходимо использовать цифровые сертификаты. В этом разделе перечислены различные типы цифровых сертификатов и сведения о настройке Exchange Server 2013 для использования этих типов цифровых сертификатов.SSL requires you to use digital certificates. This topic summarizes the different types of digital certificates and information about how to configure Exchange 2013 to use these types of digital certificates.

СодержаниеContents

Обзор цифровых сертификатовOverview of digital certificates

Цифровые сертификаты и использование прокси-сервераDigital certificates and proxying

Рекомендации по использованию цифровых сертификатовDigital certificates best practices

Обзор цифровых сертификатовOverview of digital certificates

Цифровые сертификаты — это файлы, которые используются аналогично паролям для подтверждения подлинности пользователя или компьютера. Они используются для создания зашифрованного канала SSL, по которому осуществляется взаимодействие с клиентами. Сертификат — это цифровой документ, который выпускается центром сертификации; он подтверждает подлинность держателя сертификата и позволяет сторонам взаимодействовать безопасным способом, используя шифрование.Digital certificates are electronic files that work like an online password to verify the identity of a user or a computer. They're used to create the SSL encrypted channel that's used for client communications. A certificate is a digital statement that's issued by a certification authority (CA) that vouches for the identity of the certificate holder and enables the parties to communicate in a secure manner using encryption.

Цифровые сертификаты выполняют следующие функции:Digital certificates do the following:

  • проверка того, что их владельцы — физические лица, веб-сайты и даже сетевые ресурсы, например маршрутизаторы — действительно являются теми, за кого себя выдают;They authenticate that their holders—people, websites, and even network resources such as routers—are truly who or what they claim to be.

  • защита передаваемых по сети данных от похищения или изменения.They protect data that's exchanged online from theft or tampering.

Цифровые сертификаты могут быть выданы доверенного центра сертификации сторонних производителей или Windows инфраструктура открытых ключей (PKI) с помощью служб сертификации, или они могут быть самозаверяющего. Каждый тип сертификата имеет свои преимущества и недостатки. Каждый тип цифрового сертификата от изменений и не может быть подделан.Digital certificates can be issued by a trusted third-party CA or a Windows public key infrastructure (PKI) using Certificate Services, or they can be self-signed. Each type of certificate has advantages and disadvantages. Each type of digital certificate is tamper-proof and can't be forged.

Сертификаты могут выдаваться для выполнения различных задач, в том числе для проверки подлинности веб-пользователей и веб-серверов, для использования расширений S/MIME, протоколов IPsec и TLS, а также для подписывания кода.Certificates can be issued for several uses. These uses include web user authentication, web server authentication, Secure/Multipurpose Internet Mail Extensions (S/MIME), Internet Protocol security (IPsec), Transport Layer Security (TLS), and code signing.

Сертификат содержит открытого ключа и подключает открытый ключ удостоверение пользователя, компьютера или службы, которым принадлежит соответствующий закрытый ключ. Открытых и закрытых ключей используются для шифрования данных перед их передачей с клиента и сервера. Для пользователей на основе Windows, компьютеров и служб отношения доверия с центром сертификации устанавливается при наличии копии корневой сертификат в хранилище доверенных корневых сертификатов и сертификат содержит допустимого пути сертификации. Сертификат был действительным сертификат должен не отозваны и должен не истек срок действия.A certificate contains a public key and attaches that public key to the identity of a person, computer, or service that holds the corresponding private key. The public and private keys are used by the client and the server to encrypt the data before it's transmitted. For Windows-based users, computers, and services, trust in a CA is established when there's a copy of the root certificate in the trusted root certificate store and the certificate contains a valid certification path. For the certificate to be valid, the certificate must not have been revoked and the validity period must not have expired.

Типы сертификатовTypes of certificates

Существует три основных типа цифровых сертификатов: самозаверяющие сертификаты, создаваемые Windows PKI и сертификатов сторонних производителей.There are three primary types of digital certificates: self-signed certificates, Windows PKI-generated certificates, and third-party certificates.

Самозаверяющие сертификатыSelf-signed certificates

При установке Exchange 2013 самозаверяющий сертификат автоматически настраивается на серверах почтовых ящиков. Самозаверяющий сертификат подписано приложение, создавшее его. Темы и имя сертификата, совпадают. Определенные поставщика и темы в сертификате. В этом самозаверяющий сертификат используется для шифрования связи между сервером клиентского доступа и сервера почтовых ящиков. Сервер клиентского доступа отношения доверия с самозаверяющего сертификата на сервере почтовых ящиков автоматически, поэтому нет сторонний сертификат не требуется на сервере почтовых ящиков. При установке Exchange 2013 на сервере клиентского доступа также создается самозаверяющий сертификат. Самозаверяющий сертификат разрешить некоторые клиентских протоколов для использования протокола SSL для коммуникаций. Exchange ActiveSync и Outlook Web App можно установить SSL-подключение с помощью самозаверяющего сертификата. Outlook Anywhere, не будут работать с самозаверяющего сертификата на сервере клиентского доступа. Самозаверяющие сертификаты необходимо вручную скопировать в хранилище доверенных корневых сертификатов на клиентском компьютере или мобильном устройстве. При подключении к серверу по протоколу SSL и сервер предоставляет самозаверяющий сертификат, клиент будет предложено убедитесь, что сертификат должен быть выдан доверенным центром сертификации. Клиент должен явно доверять сертификации. Если клиент подтверждает отношение доверия, можно продолжить соединения SSL.When you install Exchange 2013, a self-signed certificate is automatically configured on the Mailbox servers. A self-signed certificate is signed by the application that created it. The subject and the name of the certificate match. The issuer and the subject are defined on the certificate. This self-signed certificate is used to encrypt communications between the Client Access server and the Mailbox server. The Client Access server trusts the self-signed certificate on the Mailbox server automatically, so no third-party certificate is needed on the Mailbox server. When you install Exchange 2013, a self-signed certificate is also created on the Client Access server. This self-signed certificate will allow some client protocols to use SSL for their communications. Exchange ActiveSync and Outlook Web App can establish an SSL connection by using a self-signed certificate. Outlook Anywhere won't work with a self-signed certificate on the Client Access server. Self-signed certificates must be manually copied to the trusted root certificate store on the client computer or mobile device. When a client connects to a server over SSL and the server presents a self-signed certificate, the client will be prompted to verify that the certificate was issued by a trusted authority. The client must explicitly trust the issuing authority. If the client confirms the trust, then SSL communications can continue.

Примечание

На серверах почтовых ящиков по умолчанию устанавливает самозаверяющий сертификат. Нет необходимости заменять самозаверяющий сертификат на серверах клиентского доступа в вашей организации сторонним доверенным сертификатом. Сервер клиентского доступа автоматически доверяет самозаверяющему сертификату на сервере почтовых ящиков и для сертификатов на сервере почтовых ящиков не нужны другие настройки.By default, the digital certificate installed on the Mailbox server or servers is a self-signed certificate. You don’t need to replace the self-signed certificate on the Mailbox servers in your organization with a trusted third-party certificate. The Client Access server automatically trusts the self-signed certificate on the Mailbox server and no other configuration is needed for certificates on the Mailbox server.

На малых предприятиях часто принимается решение не использовать сторонние сертификаты или не устанавливать инфраструктуру открытых ключей для выпуска собственных сертификатов. Этом может происходить по экономическим соображениям, из-за отсутствия у администраторов необходимого опыта и знаний для создания собственной иерархии сертификатов или по обеим указанным причинам. При использовании самозаверяющих сертификатов затраты минимальны, а установка проста. Однако в таком случае гораздо труднее создать инфраструктуру для управления жизненным циклом сертификатов, их обновления, управления доверием и отзыва сертификатов.Frequently, small organizations decide not to use a third-party certificate or not to install their own PKI to issue their own certificates. They might make this decision because those solutions are too expensive, because their administrators lack the experience and knowledge to create their own certificate hierarchy, or for both reasons. The cost is minimal and the setup is simple when you use self-signed certificates. However, it's much more difficult to establish an infrastructure for certificate life-cycle management, renewal, trust management, and revocation when you use self-signed certificates.

Сертификаты, создаваемые инфраструктурой открытых ключей WindowsWindows public key infrastructure certificates

Второй тип сертификата — это сертификат, созданный Windows PKI. Инфраструктура открытого ключа — это система цифровых сертификатов, центров сертификации и центров регистрации (RAs), проверка и подлинность каждой стороны, участвующей в электронной транзакции с использованием криптографии открытого ключа. При реализации PKI в организации, которая использует Active Directory, необходимо предоставить инфраструктуру для управления жизненным циклом сертификата, обновления, управление доверительными отношениями и отзыва. Однако есть некоторые дополнительные расходы, участвующих в развертывании серверов и инфраструктуры для создания и управления создаваемые Windows PKI.The second type of certificate is a Windows PKI-generated certificate. A PKI is a system of digital certificates, certification authorities, and registration authorities (RAs) that verify and authenticate the validity of each party that's involved in an electronic transaction by using public key cryptography. When you implement a PKI in an organization that uses Active Directory, you provide an infrastructure for certificate life-cycle management, renewal, trust management, and revocation. However, there is some additional cost involved in deploying servers and infrastructure to create and manage Windows PKI-generated certificates.

Службы сертификации необходимые для развертывания инфраструктуры открытого ключа Windows и могут быть установлены через Установка и удаление программ в панели управления. Службы сертификации можно установить на любой сервер в домене.Certificate Services are required to deploy a Windows PKI and can be installed through Add Or Remove Programs in Control Panel. You can install Certificate Services on any server in the domain.

Если получить сертификаты из центра сертификации Windows присоединенный к домену, можно использовать центр сертификации для запроса или входа сертификатов для выдачи серверов или компьютеры в сети. Это позволяет использовать инфраструктуры открытого ключа, который имеет следующий вид: сертификат стороннего поставщика, но менее дорогих. Эти сертификаты PKI нельзя развернуть, как другие типы сертификатов могут быть. Тем не менее когда PKI ЦС подписывает запрашивающего сертификат с помощью закрытого ключа, проверяется инициатора запроса. Открытый ключ этому ЦС является частью сертификата. На сервере с этой доверенный корневой сертификат в хранилище сертификатов можно использовать открытый ключ для расшифровки запрашивающего сертификат и проверить подлинность инициатора запроса.If you obtain certificates from a domain-joined Windows CA, you can use the CA to request or sign certificates to issue to your own servers or computers on your network. This enables you to use a PKI that resembles a third-party certificate vendor, but is less expensive. These PKI certificates can't be deployed publicly, as other types of certificates can be. However, when a PKI CA signs the requestor's certificate by using the private key, the requestor is verified. The public key of this CA is part of the certificate. A server that has this certificate in the trusted root certificate store can use that public key to decrypt the requestor's certificate and authenticate the requestor.

Действия для развертывания сертификат, созданный PKI похожи необходимые для развертывания самозаверяющий сертификат. По-прежнему необходимо установить копию доверенного корневого сертификата из PKI в хранилище доверенных корневых сертификатов компьютеров и мобильных устройств, которые необходимо устанавливать SSL-подключение к Microsoft Exchange.The steps for deploying a PKI-generated certificate resemble those required for deploying a self-signed certificate. You must still install a copy of the trusted root certificate from the PKI to the trusted root certificate store of the computers or mobile devices that you want to be able to establish an SSL connection to Microsoft Exchange.

Windows PKI позволяет организациям публикация свои собственные сертификаты. Клиенты можно запросить и получить сертификаты из PKI Windows во внутренней сети. Windows PKI, можно обновить или отзыва сертификатов.A Windows PKI enables organizations to publish their own certificates. Clients can request and receive certificates from a Windows PKI on the internal network. The Windows PKI can renew or revoke certificates.

Доверенные сторонние сертификатыTrusted third-party certificates

Сторонние или коммерческие сертификаты — это сертификаты, которые создаются сторонними или коммерческими центрами сертификации и затем приобретаются их клиентами для использования на своих сетевых серверах. Одна из проблем при использовании самозаверяющих сертификатов и сертификатов на основе инфраструктуры открытых ключей состоит в том, что, поскольку клиентский компьютер или мобильное устройство не доверяют такому сертификату автоматически, необходимо импортировать сертификат в доверенное корневое хранилище сертификатов на клиентских компьютерах и устройствах. При использовании сторонних или коммерческих сертификатов такой проблемы не возникает. Большинство сертификатов коммерческих центров сертификации уже являются доверенными, потому что такой сертификат уже находится в доверенном корневом хранилище сертификатов. Так как издатель является доверенным, сертификат также оказывается доверенным. Использование сторонних сертификатов во многом упрощает развертывание.Third-party or commercial certificates are certificates that are generated by a third-party or commercial CA and then purchased for you to use on your network servers. One problem with self-signed and PKI-based certificates is that, because the certificate is not automatically trusted by the client computer or mobile device, you must make sure that you import the certificate into the trusted root certificate store on client computers and devices. Third-party or commercial certificates do not have this problem. Most commercial CA certificates are already trusted because the certificate already resides in the trusted root certificate store. Because the issuer is trusted, the certificate is also trusted. Using third-party certificates greatly simplifies deployment.

Для крупных организаций или для организаций, которым необходимо развертывать сертификаты для общего использования, применение сторонних (коммерческих) сертификатов является наилучшим решением, несмотря на связанные с этим расходы. Коммерческие сертификаты могут оказаться не лучшим решением для малых и средних организаций, поэтому вместо них целесообразно использовать сертификаты других типов.For larger organizations or organizations that must publicly deploy certificates, the best solution is to use a third-party or commercial certificate, even though there is a cost associated with the certificate. Commercial certificates may not be the best solution for small and medium-size organizations, and you might decide to use one of the other certificate options that are available.

В началоReturn to top

Выбор типа сертификатаChoosing a certificate type

При выборе типа сертификата для установки есть несколько моментов, которые следует учитывать. Сертификат должен быть подписан недействителен. Можно самозаверяющий или центром сертификации. Самозаверяющий сертификат имеет ограничения. Например не все мобильных устройств позволяют пользователя установить цифровой сертификат доверенного корневого сертификата хранения. Возможность установки сертификатов на мобильном устройстве зависит от производителя мобильного устройства и поставщика услуг мобильной связи. Некоторые производители и поставщики мобильной связи отключить доступ в хранилище доверенных корневых сертификатов. В этом случае самозаверяющий сертификат, ни сертификат из центра сертификации PKI Windows можно установить на мобильном устройстве.When you choose the type of certificate to install, there are several things to consider. A certificate must be signed to be valid. It can be self-signed or signed by a CA. A self-signed certificate has limitations. For example, not all mobile devices let a user install a digital certificate in the trusted root certificate store. The ability to install certificates on a mobile device depends on the mobile device manufacturer and the mobile service provider. Some manufacturers and mobile service providers disable access to the trusted root certificate store. In this case, neither a self-signed certificate nor a certificate from a Windows PKI CA can be installed on the mobile device.

Сертификаты Exchange по умолчаниюDefault Exchange certificates

По умолчанию Exchange устанавливает самозаверяющего сертификата на сервер клиентского доступа и сервера почтовых ящиков, чтобы все сетевые подключения шифруются. Шифровать все сетевые подключения необходимо, всех серверов Exchange server сертификат X.509, который мог бы использоваться. Необходимо заменить самозаверяющего сертификата на сервере клиентского доступа, которая автоматически является доверенным для клиентов.By default, Exchange installs a self-signed certificate on both the Client Access server and the Mailbox server so that all network communication is encrypted. Encrypting all network communication requires that every Exchange server have an X.509 certificate that it can use. You should replace this self-signed certificate on the Client Access server with one that is automatically trusted by your clients.

«Самозаверяющий» означает, что сертификат был создан и подписаны только с самого сервера Exchange. Так как он не был создан и подпись обычно доверенным центром сертификации, не будут доверенным самозаверяющий сертификат по умолчанию для любого программного обеспечения, за исключением других серверов Exchange в той же организации. Сертификат по умолчанию включен для всех служб Exchange. Альтернативное имя субъекта (SAN), соответствующее имя сервера Exchange server, установленной на нем. Он также содержит список SANs, включают в себя имя сервера и полное доменное имя (FQDN) сервера.“Self-signed” means that a certificate was created and signed only by the Exchange server itself. Because it wasn't created and signed by a generally trusted CA, the default self-signed certificate won't be trusted by any software except other Exchange servers in the same organization. The default certificate is enabled for all Exchange services. It has a subject alternative name (SAN) that corresponds to the server name of the Exchange server that it's installed on. It also has a list of SANs that include both the server name and the fully qualified domain name (FQDN) of the server.

Хотя для других серверов Exchange в организации Exchange trust этот сертификат автоматически, клиентов, как веб-браузеров, клиенты Outlook, мобильные телефоны и другие клиенты электронной почты в дополнение к внешним почтовых серверов не будет автоматически доверия его. Таким образом попробуйте заменить этот сертификат доверенного сертификата стороннего на серверах клиентского доступа Exchange. Если у вас есть свои собственные внутренней инфраструктуры открытого ключа и все клиенты доверие сущности, можно также использовать сертификатов, которые выдают себя.Although other Exchange servers in your Exchange organization trust this certificate automatically, clients like web browsers, Outlook clients, mobile phones, and other email clients in addition to external email servers won't automatically trust it. Therefore, consider replacing this certificate with a trusted third-party certificate on your Exchange Client Access servers. If you have your own internal PKI, and all your clients trust that entity, you can also use certificates that you issue yourself.

Требования к сертификатам для различных службCertificate requirements by service

Сертификаты используются для несколько действий в Exchange. Большинство клиентов также использовать сертификаты на несколько серверов Exchange. В общем случае не более чем сертификаты у вас есть, становится проще управление сертификатами.Certificates are used for several things in Exchange. Most customers also use certificates on more than one Exchange server. In general, the fewer certificates you have, the easier certificate management becomes.

IISIIS

Следующие службы Exchange использовать тот же сертификат на данном сервере клиентского доступа Exchange:All the following Exchange services use the same certificate on a given Exchange Client Access server:

  • Outlook Web AppOutlook Web App

  • Центр администрирования Exchange (EAC)Exchange Administration Center (EAC)

  • веб-службы ExchangeExchange Web Services

  • Exchange ActiveSyncExchange ActiveSync

  • Мобильный OutlookOutlook Anywhere

  • АвтообнаружениеAutodiscover

  • Распространения адресной книги OutlookOutlook Address Book distribution

Поскольку с веб-сайтом может быть сопоставлен только один сертификат, а все эти службы по умолчанию предоставляются через один веб-сайт, все имена, используемые клиентами этих служб, должны быть указаны в этом сертификате (или соответствовать имени из подстановочных знаков в этом сертификате).Because only a single certificate can be associated with a website, and because all these services are offered under a single website by default, all the names that clients of these services use must be in the certificate (or fall under a wildcard name in the certificate).

POP/IMAPPOP/IMAP

Сертификаты, используемые для POP или IMAP, можно задавать отдельно от сертификата для служб IIS. Однако для упрощения администрирования рекомендуется включить имя службы POP или IMAP в сертификат для служб IIS и использовать для всех этих служб только один сертификат.Certificates that are used for POP or IMAP can be specified separately from the certificate that's used for IIS. However, to simplify administration, we recommend that you include the POP or IMAP service name in your IIS certificate and use a single certificate for all these services.

SMTPSMTP

Отдельный сертификат можно использовать для каждого соединителя настраиваемого получения. Этот сертификат должен содержать имя, используемое SMTP-клиентами (или другими SMTP-серверами) для доступа к соединителю получения. Чтобы упростить управление сертификатами, рекомендуется включить все имена, для которых требуется поддержка трафика TLS, в один сертификат.A separate certificate can be used for each receive connector that you configure. The certificate must include the name that SMTP clients (or other SMTP servers) use to reach that connector. To simplify certificate management, consider including all names for which you have to support TLS traffic in a single certificate.

Цифровые сертификаты и использование прокси-сервераDigital certificates and proxying

Использование прокси-сервера — это способ, с помощью которого один сервер отправляет клиентских подключений на другой сервер. В случае Exchange 2013, это происходит при прокси-серверов клиентского доступа входящих клиентских запросов на сервер почтовых ящиков, который содержит активную копию почтового ящика клиента.Proxying is the method by which one server sends client connections to another server. In the case of Exchange 2013, this happens when the Client Access server proxies an incoming client request to the Mailbox server that contains the active copy of the client’s mailbox.

Когда серверы клиентского доступа передают запросы, протокол SSL используется для шифрования, но не для проверки подлинности. Самозаверяющий сертификат на сервере почтовых ящиков шифрует трафик между сервером клиентского доступа и сервером почтовых ящиков.When Client Access servers proxy requests, SSL is used for encryption but not for authentication. The self-signed certificate on the Mailbox server encrypts the traffic between the Client Access server and the Mailbox server.

Обратные прокси-серверы и сертификатыReverse proxies and certificates

Количество развертываний Exchange использование обратных прокси-серверов для публикации служб Exchange в Интернете. Обратный прокси-серверов можно настроить для прерывания SSL-шифрования, проверьте трафик в незашифрованном виде на сервере и откройте новый канал шифрования SSL обратного прокси-серверов на серверы Exchange за ними. Этот процесс называется SSL моста. Другой способ настройки обратных прокси-серверов — это программа SSL-соединений пройти непосредственно на серверы Exchange за обратных прокси-серверов. С помощью любого из модель развертывания клиентов в Интернете подключитесь к серверу обратного прокси-сервера, с помощью имени узла для доступа к Exchange, например, mail.contoso.com. Затем обратный прокси-сервер подключается к серверу Exchange с помощью другим именем узла, такие как имя компьютера сервера клиентского доступа Exchange. У вас нет включать имя компьютера сервера клиентского доступа Exchange на сертификат, так как наиболее распространенные обратных прокси-серверов, могут в соответствии с исходное имя узла, который используется клиентом для имя узла внутреннего сервера клиентского доступа Exchange .Many Exchange deployments use reverse proxies to publish Exchange services on the Internet. Reverse proxies can be configured to terminate SSL encryption, examine the traffic in the clear on the server, and then open a new SSL encryption channel from the reverse proxy servers to the Exchange servers behind them. This is known as SSL bridging. Another way to configure the reverse proxy servers is to let the SSL connections pass straight through to the Exchange servers behind the reverse proxy servers. With either deployment model, the clients on the Internet connect to the reverse proxy server using a host name for Exchange access, such as mail.contoso.com. Then the reverse proxy server connects to Exchange using a different host name, such as the machine name of the Exchange Client Access server. You don't have to include the machine name of the Exchange Client Access server on your certificate because most common reverse proxy servers are able to match the original host name that's used by the client to the internal host name of the Exchange Client Access server.

SSL и разделенная DNSSSL and split DNS

Разделенная DNS — это технология, которая позволяет настраивать различные IP-адреса для то же имя узла, в зависимости от того, откуда исходного запроса DNS. Это также называется горизонта DNS, представление с разделением DNS или разделенной DNS. Разделенная DNS, которые помогут снизить количество имен узлов, которые необходимо управлять для Exchange, позволяя клиентов для подключения к Exchange через то же имя узла, будет ли они подключаются из Интернета или из интрасети. Разделенная DNS разрешает запросы, полученные из интрасети для получения различных IP-адрес, чем запросы, отправленные из Интернета.Split DNS is a technology that allows you to configure different IP addresses for the same host name, depending on where the originating DNS request came from. This is also known as split-horizon DNS, split-view DNS, or split-brain DNS. Split DNS can help you reduce the number of host names that you must manage for Exchange by allowing your clients to connect to Exchange through the same host name whether they're connecting from the Internet or from the intranet. Split DNS allows requests that originate from the intranet to receive a different IP address than requests that originate from the Internet.

Разделенная DNS обычно нет необходимости в небольших развертывания Exchange, так как пользователи могут обращаться к одной конечной точкой DNS ли они в случае поступают из интрасети или Интернета. Тем не менее, более крупных развертываниях этой конфигурации приведет к слишком высокой нагрузки на сервер прокси-сервер исходящей почты Интернета и обратного прокси-сервера. Более крупных развертываний Настройка разделения DNS, чтобы, например, mail.contoso.com доступ внешних пользователей и внутренним пользователям получить доступ к internal.contoso.com. С помощью разделенная DNS для этой конфигурации обеспечивает пользователям не нужно помнить о необходимости использования различных имени узла в зависимости от того, где они находятся.Split DNS is usually unnecessary in a small Exchange deployment because users can access the same DNS endpoint whether they're coming from the intranet or the Internet. However, with larger deployments, this configuration will result in too high of a load on your outgoing Internet proxy server and your reverse proxy server. For larger deployments, configure split DNS so that, for example, external users access mail.contoso.com and internal users access internal.contoso.com. Using split DNS for this configuration ensures that your users won't have to remember to use different host names depending on where they're located.

Удаленная оболочка Windows PowerShellRemote Windows PowerShell

Шифрование Kerberos и проверка подлинности Kerberos используется для удаленного доступа Windows PowerShell, из центра администрирования Exchange (EAC) и Командная консоль Exchange. Таким образом не потребуется Настройка SSL-сертификатов для использования с помощью удаленной оболочки Windows PowerShell.Kerberos authentication and Kerberos encryption are used for remote Windows PowerShell access, from both the Exchange Administration Center (EAC) and the Exchange Management Shell. Therefore, you won't have to configure your SSL certificates for use with remote Windows PowerShell.

В началоReturn to top

Рекомендации по использованию цифровых сертификатовDigital certificates best practices

Хотя конфигурация цифровых сертификатов в организации изменяется в зависимости от текущих потребностей, эти рекомендации помогут вам подобрать оптимальную конфигурацию цифровых сертификатов.Although the configuration of your organization's digital certificates will vary based on its specific needs, information about best practices has been included to help you choose the digital certificate configuration that's right for you.

Рекомендация: используйте сертификаты доверенных сторонних поставщиковBest practice: Use a trusted third-party certificate

Чтобы запретить получать сообщения об ошибках относительно недоверенных сертификатов клиентов, сертификат, используемый сервером Exchange server необходимо быть выдан кто-то, доверяющей клиента. Хотя большинство клиентов можно настроить доверие любой сертификат или сертификат издателя, проще использовать доверенный сертификат стороннего на сервере Exchange. Это, поскольку большинство клиентов уже доверять их корневые сертификаты. Существует несколько поставщиков сертификатов сторонних производителей, которые предлагают сертификаты, настроенные специально для Exchange. Можно использовать Центр администрирования Exchange для создания запросы сертификатов, которые работают с большинство поставщиков сертификатов.To prevent clients from receiving errors regarding untrusted certificates, the certificate that's used by your Exchange server must be issued by someone that the client trusts. Although most clients can be configured to trust any certificate or certificate issuer, it's simpler to use a trusted third-party certificate on your Exchange server. This is because most clients already trust their root certificates. There are several third-party certificate issuers that offer certificates configured specifically for Exchange. You can use the EAC to generate certificate requests that work with most certificate issuers.

Выбор центра сертификацииHow to select a certification authority

Центр сертификации (ЦС) — это организация, проблемы и проверяет подлинность сертификата. Клиентское программное обеспечение (например, браузеры такой как Microsoft Internet Explorer) или операционных систем, например Windows или Mac OS имеют встроенные список сервера клиентского доступа, они доверять. Обычно этот список можно настроить для добавления и удаления сервера клиентского доступа, но конфигурации часто сложный. При выборе приобрести сертификаты из центра сертификации, используйте следующим критериям:A certification authority (CA) is a company that issues and ensures the validity of certificates. Client software (for example, browsers such as Microsoft Internet Explorer, or operating systems such as Windows or Mac OS) have a built-in list of CAs they trust. This list can usually be configured to add and remove CAs, but that configuration is often cumbersome. Use the following criteria when you select a CA to buy your certificates from:

  • Убедитесь, что центр сертификации является доверенным для клиентского программного обеспечения (операционных систем, браузеров и мобильных телефонов), которые будут подключаться к серверам Exchange.Ensure the CA is trusted by the client software (operating systems, browsers, and mobile phones) that will connect to your Exchange servers.

  • Выберите центр сертификации, что он поддерживает «Единой системы обмена сертификаты» для использования с Exchange server.Choose a CA that says it supports “Unified Communications certificates” for use with Exchange server.

  • Убедитесь, что центр сертификации поддерживает те типы сертификатов, которые планируется использовать. Рекомендуется использовать сертификаты с дополнительными именами субъектов. Такие сертификаты поддерживаются не всеми центрами сертификации; кроме того, некоторые центры сертификации могут не поддерживать требуемое количество имен узлов.Make sure that the CA supports the kinds of certificates that you’ll use. Consider using subject alternative name (SAN) certificates. Not all CAs support SAN certificates, and other CAs don't support as many host names as you might need.

  • Убедитесь, что приобретаемая лицензия на сертификаты позволяет разместить сертификаты на том количестве серверов, которое планируется использовать. Некоторые центры сертификации позволяют разместить сертификат только на одном сервере.Make sure that the license you buy for the certificates allows you to put the certificate on the number of servers that you intend to use. Some CAs only allow you to put a certificate on one server.

  • Сравните цены на сертификаты в разных центрах сертификации.Compare certificate prices between CAs.

Рекомендация: Использование сертификатов с дополнительными именами субъектовBest practice: Use SAN certificates

В зависимости от того, как настроить список служб в вашем развертывании Exchange Exchange server может потребоваться сертификат, который может представлять нескольких доменных имен. Хотя групповой сертификат, например, другая — для *. contoso.com, можно решить эту проблему, многие пользователи, неудобства с защищенность обслуживание сертификат, который может использоваться для любого дочернего домена. Более безопасной альтернативой является получение списка всех необходимых доменах как SANs в сертификате. По умолчанию этот подход используется при создании запросы сертификатов с Exchange.Depending on how you configure the service names in your Exchange deployment, your Exchange server may require a certificate that can represent multiple domain names. Although a wildcard certificate, such as one for *.contoso.com, can resolve this problem, many customers are uncomfortable with the security implications of maintaining a certificate that can be used for any subdomain. A more secure alternative is to list each of the required domains as SANs in the certificate. By default, this approach is used when certificate requests are generated by Exchange.

Рекомендация: Использование мастера сертификатов Exchange для запроса сертификатовBest practice: Use the Exchange certificate wizard to request certificates

Существует множество служб Exchange, которые используют сертификаты. — Это распространенные ошибки при запросе сертификатов для запроса не внося правильный набор имен служб. Мастер сертификатов в центре администрирования Exchange поможет вам включить правильный список имен в запрос на сертификат. Мастер позволяет указать, какие службы сертификат должен работать с и службы, выбранные на основании, включает в себя имена, необходимо иметь в сертификате, чтобы его можно использовать с помощью этих служб. Запустите мастер сертификатов при правильность развертывания вашего начальный набор серверов Exchange 2013 и определить, какие имена узлов для различных служб для вашего развертывания. В идеальном варианте только необходимо хранить запускать мастер сертификатов один раз для каждого сайта Active Directory, где развертывание Exchange.There are many services in Exchange that use certificates. A common error when requesting certificates is to make the request without including the correct set of service names. The certificate wizard in the Exchange Administration Center will help you include the correct list of names in the certificate request. The wizard lets you specify which services the certificate has to work with and, based on the services selected, includes the names that you must have in the certificate so that it can be used with those services. Run the certificate wizard when you've deployed your initial set of Exchange 2013 servers and determined which host names to use for the different services for your deployment. Ideally you'll only have to run the certificate wizard one time for each Active Directory site where you deploy Exchange.

Вместо того, чтобы тщательно следить за указанием всех имен узлов в списке дополнительных имен субъектов приобретаемого сертификата, можно использовать центр сертификации, который предлагает бесплатный льготный период, в течение которого можно вернуть сертификат и запросить такой же сертификат с несколькими дополнительными именами узлов.Instead of worrying about forgetting a host name in the SAN list of the certificate that you purchase, you can use a certification authority that offers, at no charge, a grace period during which you can return a certificate and request the same new certificate with a few additional host names.

Рекомендация: используйте минимальное количество имен узловBest practice: Use as few host names as possible

Кроме использования минимального количества сертификатов, следует стремиться к предельно возможному сокращению количества имен узлов. Такой подход позволяет экономить средства. Размер счета у многих поставщиков сертификатов зависит от числа имен узлов, добавляемых в сертификат.In addition to using as few certificates as possible, you should also use as few host names as possible. This practice can save money. Many certificate providers charge a fee based on the number of host names you add to your certificate.

Наиболее эффективное решение по снижению требуемого количества имен узлов и упрощению управления сертификатами заключается в том, чтобы не включать в дополнительные имена субъектов сертификата имена узлов для отдельных серверов.The most important step you can take to reduce the number of host names that you must have and, therefore, the complexity of your certificate management, is not to include individual server host names in your certificate's subject alternative names.

Имена узлов, которые необходимо включить в обмен сертификатами являются имена узлов, используемых клиентских приложений для подключения к Exchange. Ниже приведен список имен типичного узла, которые могут потребоваться для компании с именем Contoso:The host names you must include in your Exchange certificates are the host names used by client applications to connect to Exchange. The following is a list of typical host names that would be required for a company named Contoso:

  • Mail.contoso.com это имя узла охватывает большинство подключений к Exchange, включая Microsoft Outlook, Outlook Web App, мобильный Outlook, автономную адресную книгу, веб-служб Exchange, POP3, IMAP4, SMTP, панель управления Exchange и ActiveSync.Mail.contoso.com This host name covers most connections to Exchange, including Microsoft Outlook, Outlook Web App, Outlook Anywhere, the Offline Address Book, Exchange Web Services, POP3, IMAP4, SMTP, Exchange Control Panel, and ActiveSync.

  • Autodiscover.contoso.com это имя узла используется клиентами, которые поддерживают службы автообнаружения, включая Microsoft Office Outlook 2007 и более поздних версий, Exchange ActiveSync и клиентов веб-служб Exchange.Autodiscover.contoso.com This host name is used by clients that support Autodiscover, including Microsoft Office Outlook 2007 and later versions, Exchange ActiveSync, and Exchange Web Services clients.

  • Legacy.contoso.com требуется это имя узла в сценариях сосуществования с Exchange 2007 и Exchange 2013. Если вам придется клиентов с почтовыми ящиками в Exchange 2007 и Exchange 2013, Настройка устаревшего имени узла не позволяет пользователям не изучать второй URL-адрес в процессе обновления.Legacy.contoso.com This host name is required in a coexistence scenario with Exchange 2007 and Exchange 2013. If you'll have clients with mailboxes on Exchange 2007 and Exchange 2013, configuring a legacy host name prevents your users from having to learn a second URL during the upgrade process.

Общие сведения о групповых сертификатахUnderstanding wildcard certificates

Групповой сертификат предназначено для использования в домене и нескольких поддоменах. Например, для настройки групповой сертификат для *. contoso.com приводит к с сертификатом, который будет работать для mail.contoso.com, web.contoso.com и autodiscover.contoso.com.A wildcard certificate is designed to support a domain and multiple subdomains. For example, configuring a wildcard certificate for *.contoso.com results in a certificate that will work for mail.contoso.com, web.contoso.com, and autodiscover.contoso.com.

В началоReturn to top