Цифровые сертификаты и протокол SSLDigital certificates and SSL

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

SSL — это метод защиты обмена данными между клиентом и сервером.Secure Sockets Layer (SSL) is a method for securing communications between a client and a server. Для обеспечения безопасного обмена данными между сервером и клиентами в Exchange Server 2013 используется протокол SSL.For Exchange Server 2013, SSL is used to help secure communications between the server and clients. К клиентам относятся мобильные телефоны, компьютеры в сети организации и за ее пределами.Clients include mobile phones, computers inside an organization's network, and computers outside an organization's network.

По умолчанию при установке Exchange 2013 клиентские подключения шифруются по протоколу SSL при использовании Outlook Web App, Exchange ActiveSync и мобильного Outlook.By default, when you install Exchange 2013, client communications are encrypted using SSL when you use Outlook Web App, Exchange ActiveSync, and Outlook Anywhere.

Для протокола SSL требуется применение цифровых сертификатов.SSL requires you to use digital certificates. В этом разделе приведены общие сведения о различных типах цифровых сертификатов и сведения о настройке Exchange 2013 для использования этих типов цифровых сертификатов.This topic summarizes the different types of digital certificates and information about how to configure Exchange 2013 to use these types of digital certificates.

Обзор цифровых сертификатовOverview of digital certificates

Цифровые сертификаты — это файлы, которые используются аналогично паролям для подтверждения подлинности пользователя или компьютера.Digital certificates are electronic files that work like an online password to verify the identity of a user or a computer. Они используются для создания зашифрованного SSL-канала, используемого для обмена данными с клиентами.They're used to create the SSL encrypted channel that's used for client communications. Сертификат — это цифровой отчет, выданный центром сертификации (CA), который подтверждает подлинность владельца сертификата и позволяет сторонам безопасно общаться по безопасному принципу с помощью шифрования.A certificate is a digital statement that's issued by a certification authority (CA) that vouches for the identity of the certificate holder and enables the parties to communicate in a secure manner using encryption.

Цифровые сертификаты выполняют следующие функции:Digital certificates do the following:

  • Они проверяют, что их владельцы (люди, веб-сайты и даже сетевые ресурсы, такие как маршрутизаторы) являются действительно теми, кому они предназначены.They authenticate that their holders (people, websites, and even network resources such as routers) are truly who or what they claim to be.

  • Они защищают данные, которыми обмениваются Интернет, от хищения или мошенничества.They protect data that's exchanged online from theft or tampering.

Цифровые сертификаты могут выдаваться надежным сторонним центром сертификации или инфраструктурой открытых ключей Windows (PKI) с помощью служб сертификации или могут быть самозаверяющим.Digital certificates can be issued by a trusted third-party CA or a Windows public key infrastructure (PKI) using Certificate Services, or they can be self-signed. Каждый тип сертификата имеет свои преимущества и недостатки.Each type of certificate has advantages and disadvantages. Каждый тип цифрового сертификата может быть незаконным и подделываться.Each type of digital certificate is tamper-proof and can't be forged.

Сертификаты могут выдаваться для нескольких применений.Certificates can be issued for several uses. К ним относятся проверка подлинности веб-пользователя, проверка подлинности веб-сервера, безопасность/многоцелевой почтовые расширения Интернета (IPsec), безопасность протокола IP (IPsec), TLS и подпись кода.These uses include web user authentication, web server authentication, Secure/Multipurpose Internet Mail Extensions (S/MIME), Internet Protocol security (IPsec), Transport Layer Security (TLS), and code signing.

Сертификат содержит открытый ключ, который он связывает с удостоверением владельца (пользователя, компьютера или службы) соответствующего закрытого ключа.A certificate contains a public key and attaches that public key to the identity of a person, computer, or service that holds the corresponding private key. Общедоступные и закрытые ключи используются клиентом и сервером для шифрования данных перед их передачей.The public and private keys are used by the client and the server to encrypt the data before it's transmitted. Для пользователей, компьютеров и служб, работающих под управлением Windows, доверие в ЦС устанавливается при наличии копии корневого сертификата в хранилище доверенных корневых сертификатов, а сертификат содержит действительный путь сертификации.For Windows-based users, computers, and services, trust in a CA is established when there's a copy of the root certificate in the trusted root certificate store and the certificate contains a valid certification path. Чтобы сертификат был действительным, сертификат не должен быть отозван, а срок действия не должен истечь.For the certificate to be valid, the certificate must not have been revoked and the validity period must not have expired.

Типы сертификатовTypes of certificates

Существует три основных типа цифровых сертификатов: самозаверяющие сертификаты, сертификаты, созданные с помощью PKI Windows, и сторонние сертификаты.There are three primary types of digital certificates: self-signed certificates, Windows PKI-generated certificates, and third-party certificates.

Самозаверяющие сертификатыSelf-signed certificates

При установке Exchange 2013 самозаверяющий сертификат автоматически настраивается на серверах почтовых ящиков.When you install Exchange 2013, a self-signed certificate is automatically configured on the Mailbox servers. Самозаверяющий сертификат подписывается создавшим его приложением.A self-signed certificate is signed by the application that created it. Получатель и имя сертификата совпадают.The subject and the name of the certificate match. Издатель и тема определены в сертификате.The issuer and the subject are defined on the certificate. Этот самозаверяющий сертификат используется для шифрования сообщений между сервером клиентского доступа и сервером почтовых ящиков.This self-signed certificate is used to encrypt communications between the Client Access server and the Mailbox server. Сервер клиентского доступа автоматически доверяет сертификату, подписанному на сервере почтовых ящиков, поэтому на сервере почтовых ящиков не требуется сертификата стороннего производителя.The Client Access server trusts the self-signed certificate on the Mailbox server automatically, so no third-party certificate is needed on the Mailbox server. При установке Exchange 2013 на сервере клиентского доступа также создается самозаверяющий сертификат.When you install Exchange 2013, a self-signed certificate is also created on the Client Access server. Этот самозаверяющий сертификат позволит некоторым клиентским протоколам использовать SSL для связи.This self-signed certificate will allow some client protocols to use SSL for their communications. Exchange ActiveSync и Outlook Web App могут устанавливать подключения SSL с помощью самозаверяющего сертификата.Exchange ActiveSync and Outlook Web App can establish an SSL connection by using a self-signed certificate. Мобильный Outlook не будет работать с самозаверяющим сертификатом на сервере клиентского доступа.Outlook Anywhere won't work with a self-signed certificate on the Client Access server. Самозаверяющие сертификаты необходимо вручную скопировать в хранилище доверенных корневых сертификатов на клиентском компьютере или мобильном устройстве.Self-signed certificates must be manually copied to the trusted root certificate store on the client computer or mobile device. Когда клиент подключается к серверу через SSL, а сервер представляет самозаверяющий сертификат, клиенту будет предложено проверить, был ли сертификат выдан доверенным центром сертификации.When a client connects to a server over SSL and the server presents a self-signed certificate, the client will be prompted to verify that the certificate was issued by a trusted authority. Клиент должен явно доверять центру сертификации.The client must explicitly trust the issuing authority. Если клиент подтверждает доверие, связь по протоколу SSL может продолжаться.If the client confirms the trust, then SSL communications can continue.

Примечание

По умолчанию цифровой сертификат, установленный на сервере или серверах почтовых ящиков, является самозаверяющим сертификатом.By default, the digital certificate installed on the Mailbox server or servers is a self-signed certificate. Вам не нужно заменять самозаверяющий сертификат на серверах почтовых ящиков в Организации с помощью доверенного стороннего сертификата.You don't need to replace the self-signed certificate on the Mailbox servers in your organization with a trusted third-party certificate. Сервер клиентского доступа автоматически доверяет сертификату, подписанному на сервере почтовых ящиков, а другие настройки сертификатов на сервере почтовых ящиков не требуются.The Client Access server automatically trusts the self-signed certificate on the Mailbox server and no other configuration is needed for certificates on the Mailbox server.

В небольших организациях, как правило, не используется сторонний сертификат или не устанавливается собственная инфраструктура открытых ключей для выпуска собственных сертификатов.Frequently, small organizations decide not to use a third-party certificate or not to install their own PKI to issue their own certificates. Они могут принять это решение, так как эти решения слишком дороги, так как они не имеют опыта и знаний для создания собственной иерархии сертификатов или по обеим причинам.They might make this decision because those solutions are too expensive, because their administrators lack the experience and knowledge to create their own certificate hierarchy, or for both reasons. Затраты минимальны, а программа установки проста в использовании самозаверяющих сертификатов.The cost is minimal and the setup is simple when you use self-signed certificates. Тем не менее, гораздо сложнее установить инфраструктуру для управления жизненным циклом сертификатов, обновления, управления доверием и отзыва при использовании самозаверяющих сертификатов.However, it's much more difficult to establish an infrastructure for certificate life-cycle management, renewal, trust management, and revocation when you use self-signed certificates.

Сертификаты инфраструктуры открытых ключей WindowsWindows public key infrastructure certificates

Второй тип сертификата — это сертификат, созданный с помощью инфраструктуры открытых ключей Windows.The second type of certificate is a Windows PKI-generated certificate. PKI — это система цифровых сертификатов, центров сертификации и центров регистрации (RAs), которые проверяют и проверяют допустимость каждой стороны, участвующей в электронной транзакции, с помощью криптографии с использованием открытых ключей.A PKI is a system of digital certificates, certification authorities, and registration authorities (RAs) that verify and authenticate the validity of each party that's involved in an electronic transaction by using public key cryptography. При внедрении инфраструктуры открытого ключа в Организации, использующей Active Directory, вы предоставляете инфраструктуру для управления жизненным циклом сертификатов, обновления, управления доверием и отзывами.When you implement a PKI in an organization that uses Active Directory, you provide an infrastructure for certificate life-cycle management, renewal, trust management, and revocation. Тем не менее, существует несколько дополнительных затрат на развертывание серверов и инфраструктуры для создания и управления сертификатами, созданными с применением инфраструктуры открытых ключей Windows.However, there is some additional cost involved in deploying servers and infrastructure to create and manage Windows PKI-generated certificates.

Службы сертификации необходимы для развертывания Windows PKI и могут быть установлены с помощью компонента " Установка и удаление программ " на панели управления.Certificate Services are required to deploy a Windows PKI and can be installed through Add Or Remove Programs in Control Panel. Службы сертификации можно установить на любом сервере в домене.You can install Certificate Services on any server in the domain.

Если вы получаете сертификаты из центра сертификации Windows, присоединенного к домену, вы можете использовать ЦС, чтобы запрашивать или подписывать сертификаты для собственных серверов или компьютеров в сети.If you obtain certificates from a domain-joined Windows CA, you can use the CA to request or sign certificates to issue to your own servers or computers on your network. Это позволяет использовать PKI, похожую на стороннего поставщика сертификатов, но менее дорогим.This enables you to use a PKI that resembles a third-party certificate vendor, but is less expensive. Эти сертификаты PKI невозможно развернуть в общедоступном виде, так как другие типы сертификатов могут быть.These PKI certificates can't be deployed publicly, as other types of certificates can be. Тем не менее, когда ЦС PKI подписывает сертификат запрашивающего с помощью закрытого ключа, запрашивающая сторона проверяется.However, when a PKI CA signs the requestor's certificate by using the private key, the requestor is verified. Открытый ключ этого ЦС является частью сертификата.The public key of this CA is part of the certificate. Сервер, на котором установлен этот сертификат в хранилище доверенных корневых сертификатов, может использовать этот открытый ключ для расшифровки сертификата запрашивающего и проверки подлинности запрашивающего.A server that has this certificate in the trusted root certificate store can use that public key to decrypt the requestor's certificate and authenticate the requestor.

Действия по развертыванию созданного с помощью PKI сертификата похожи на те, что необходимы для развертывания самозаверяющего сертификата.The steps for deploying a PKI-generated certificate resemble those required for deploying a self-signed certificate. По-прежнему необходимо установить копию доверенного корневого сертификата из PKI в доверенное корневое хранилище сертификатов компьютеров или мобильных устройств, которые будут иметь возможность установить SSL-подключение к Microsoft Exchange.You must still install a copy of the trusted root certificate from the PKI to the trusted root certificate store of the computers or mobile devices that you want to be able to establish an SSL connection to Microsoft Exchange.

Инфраструктура открытых ключей Windows позволяет организациям публиковать собственные сертификаты.A Windows PKI enables organizations to publish their own certificates. Клиенты могут запрашивать и принимать сертификаты из PKI Windows во внутренней сети.Clients can request and receive certificates from a Windows PKI on the internal network. С помощью PKI Windows можно продлить или отозвать сертификаты.The Windows PKI can renew or revoke certificates.

Доверенные сторонние сертификатыTrusted third-party certificates

Сторонние или коммерческие сертификаты — это сертификаты, которые создаются сторонним или коммерческим центром сертификации и затем приобретены для использования на сетевых серверах.Third-party or commercial certificates are certificates that are generated by a third-party or commercial CA and then purchased for you to use on your network servers. Одной из проблем с сертификатами с собственной подписью и с помощью PKI является то, что сертификат не является доверенным для клиентского компьютера или мобильного устройства, поэтому необходимо импортировать сертификат в хранилище доверенных корневых сертификатов на клиенте. Компьютеры и устройства.One problem with self-signed and PKI-based certificates is that, because the certificate is not automatically trusted by the client computer or mobile device, you must make sure that you import the certificate into the trusted root certificate store on client computers and devices. Сторонние или коммерческие сертификаты не имеют этой проблемы.Third-party or commercial certificates do not have this problem. Большинство сертификатов коммерческих центров сертификации уже являются доверенными, потому что такой сертификат уже находится в доверенном корневом хранилище сертификатов.Most commercial CA certificates are already trusted because the certificate already resides in the trusted root certificate store. Так как издатель является доверенным, сертификат также оказывается доверенным.Because the issuer is trusted, the certificate is also trusted. Использование сторонних сертификатов во многом упрощает развертывание.Using third-party certificates greatly simplifies deployment.

Для крупных организаций или организаций, которым необходимо развернутые сертификаты, лучше всего использовать сторонние или коммерческие сертификаты, несмотря на то, что они связаны с сертификатом.For larger organizations or organizations that must publicly deploy certificates, the best solution is to use a third-party or commercial certificate, even though there is a cost associated with the certificate. Коммерческие сертификаты могут быть не лучшим решением для малых и средних организаций, и вы можете использовать один из доступных вариантов сертификатов.Commercial certificates may not be the best solution for small and medium-size organizations, and you might decide to use one of the other certificate options that are available.

Выбор типа сертификатаChoosing a certificate type

При выборе типа устанавливаемого сертификата необходимо учесть несколько моментов.When you choose the type of certificate to install, there are several things to consider. Сертификат должен быть подписан, чтобы быть действительным.A certificate must be signed to be valid. Он может быть самозаверяющим и подписан центром сертификации.It can be self-signed or signed by a CA. Самозаверяющий сертификат имеет ограничения.A self-signed certificate has limitations. Например, не все мобильные устройства позволяют пользователю установить цифровой сертификат в хранилище доверенных корневых сертификатов.For example, not all mobile devices let a user install a digital certificate in the trusted root certificate store. Возможность установки сертификатов на мобильном устройстве зависит от производителя мобильных устройств и поставщика услуг для мобильных устройств.The ability to install certificates on a mobile device depends on the mobile device manufacturer and the mobile service provider. Некоторые производители и поставщики услуг для мобильных устройств отключают доступ к хранилищу доверенных корневых сертификатов.Some manufacturers and mobile service providers disable access to the trusted root certificate store. В этом случае ни самозаверяющий сертификат, ни сертификат из центра сертификации PKI Windows невозможно установить на мобильном устройстве.In this case, neither a self-signed certificate nor a certificate from a Windows PKI CA can be installed on the mobile device.

Сертификаты Exchange по умолчаниюDefault Exchange certificates

По умолчанию Exchange устанавливает самозаверяющий сертификат на сервере клиентского доступа и сервере почтовых ящиков, чтобы все сетевые подключения были зашифрованы.By default, Exchange installs a self-signed certificate on both the Client Access server and the Mailbox server so that all network communication is encrypted. Для шифрования всех сетевых коммуникаций необходимо, чтобы на каждом сервере Exchange был сертификат X. 509, который он может использовать.Encrypting all network communication requires that every Exchange server have an X.509 certificate that it can use. Этот самозаверяющий сертификат необходимо заменить на сервере клиентского доступа, который будет автоматически доверенным для ваших клиентов.You should replace this self-signed certificate on the Client Access server with one that is automatically trusted by your clients.

"С собственной подписью" означает, что сертификат создан и подписан только самим сервером Exchange."Self-signed" means that a certificate was created and signed only by the Exchange server itself. Так как он не был создан и подписан общедоступным доверенным центром сертификации, самозаверяющий сертификат по умолчанию не будет доверенным для любого программного обеспечения, кроме других серверов Exchange в той же организации.Because it wasn't created and signed by a generally trusted CA, the default self-signed certificate won't be trusted by any software except other Exchange servers in the same organization. Сертификат по умолчанию включен для всех служб Exchange.The default certificate is enabled for all Exchange services. У него есть альтернативное имя субъекта (SAN), которое соответствует имени сервера Exchange Server, на котором он установлен.It has a subject alternative name (SAN) that corresponds to the server name of the Exchange server that it's installed on. Кроме того, имеется список San, включающий имя сервера и полное доменное имя (FQDN) сервера.It also has a list of SANs that include both the server name and the fully qualified domain name (FQDN) of the server.

Хотя другие серверы Exchange в организации Exchange доверяют этому сертификату автоматически, клиенты, такие как веб-браузеры, клиенты Outlook, мобильные телефоны и другие почтовые клиенты, кроме внешних почтовых серверов, не будут автоматически доверять этому сертификату.Although other Exchange servers in your Exchange organization trust this certificate automatically, clients like web browsers, Outlook clients, mobile phones, and other email clients in addition to external email servers won't automatically trust it. Поэтому рекомендуется заменить этот сертификат доверенным сторонним сторонним сертификатом на серверах клиентского доступа Exchange.Therefore, consider replacing this certificate with a trusted third-party certificate on your Exchange Client Access servers. Если у вас есть собственная внутренняя инфраструктура открытых ключей, и все ваши клиенты доверяют этому объекту, вы также можете использовать сертификаты, которые вы сами выпустили.If you have your own internal PKI, and all your clients trust that entity, you can also use certificates that you issue yourself.

Требования к сертификатам по службамCertificate requirements by service

Сертификаты используются для нескольких функций в Exchange.Certificates are used for several things in Exchange. Большинство клиентов также используют сертификаты на нескольких серверах Exchange Server.Most customers also use certificates on more than one Exchange server. Как правило, чем меньше сертификатов у вас, тем проще будет управлять сертификатами.In general, the fewer certificates you have, the easier certificate management becomes.

IISIIS

Все перечисленные ниже службы Exchange используют один и тот же сертификат на сервере клиентского доступа Exchange.All the following Exchange services use the same certificate on a given Exchange Client Access server:

  • Outlook Web AppOutlook Web App

  • Центр администрирования ExchangeExchange admin center (EAC)

  • веб-службы ExchangeExchange Web Services

  • Exchange ActiveSyncExchange ActiveSync

  • Мобильный OutlookOutlook Anywhere

  • AutodiscoverAutodiscover

  • Распространение адресной книги OutlookOutlook Address Book distribution

Так как с веб-сайтом можно связать только один сертификат, и поскольку все эти службы по умолчанию предоставляются по одному веб-сайту, все имена, используемые клиентами этих служб, должны находиться в сертификате (или находиться под именем шаблона в сертификате). ).Because only a single certificate can be associated with a website, and because all these services are offered under a single website by default, all the names that clients of these services use must be in the certificate (or fall under a wildcard name in the certificate).

POP/IMAPPOP/IMAP

Сертификаты, используемые для POP или IMAP, можно указать отдельно от сертификата, используемого для служб IIS.Certificates that are used for POP or IMAP can be specified separately from the certificate that's used for IIS. Однако для упрощения администрирования рекомендуется включить имя службы POP или IMAP в сертификат IIS и использовать один сертификат для всех этих служб.However, to simplify administration, we recommend that you include the POP or IMAP service name in your IIS certificate and use a single certificate for all these services.

SMTPSMTP

Для каждого настраиваемого соединителя получения можно использовать отдельный сертификат.A separate certificate can be used for each receive connector that you configure. Сертификат должен включать имя, которое клиенты SMTP (или другие SMTP-серверы) используют для доступа к этому соединителю.The certificate must include the name that SMTP clients (or other SMTP servers) use to reach that connector. Чтобы упростить управление сертификатами, рассмотрите возможность включения всех имен, для которых необходимо поддерживать трафик TLS в едином сертификате.To simplify certificate management, consider including all names for which you have to support TLS traffic in a single certificate.

Цифровые сертификаты и прокси-службыDigital certificates and proxying

Прокси-сервер — это способ, с помощью которого один сервер отправляет клиентские подключения на другой сервер.Proxying is the method by which one server sends client connections to another server. В случае Exchange 2013 это происходит, когда сервер клиентского доступа прокси-сервер клиентского доступа почтовых ящиков на сервере почтовых ящиков, который содержит активную копию почтового ящика клиента.In the case of Exchange 2013, this happens when the Client Access server proxies an incoming client request to the Mailbox server that contains the active copy of the client's mailbox.

При запросе прокси серверов клиентского доступа протокол SSL используется для шифрования, но не для проверки подлинности.When Client Access servers proxy requests, SSL is used for encryption but not for authentication. Самозаверяющий сертификат на сервере почтовых ящиков шифрует трафик между сервером клиентского доступа и сервером почтовых ящиков.The self-signed certificate on the Mailbox server encrypts the traffic between the Client Access server and the Mailbox server.

Обратные прокси-серверы и сертификатыReverse proxies and certificates

Многие развертывания Exchange используют обратные прокси-серверы для публикации служб Exchange в Интернете.Many Exchange deployments use reverse proxies to publish Exchange services on the Internet. Обратные прокси-серверы можно настроить для завершения шифрования SSL, Проанализируйте трафик на сервере очистки на сервере, а затем откройте новый канал шифрования SSL с обратных прокси-серверов на серверы Exchange, находящихся за ними.Reverse proxies can be configured to terminate SSL encryption, examine the traffic in the clear on the server, and then open a new SSL encryption channel from the reverse proxy servers to the Exchange servers behind them. Это называется мостом SSL.This is known as SSL bridging. Другой способ настройки обратных прокси-серверов заключается в том, чтобы подключения SSL передавались напрямую через серверы Exchange, находящиеся за обратными прокси-серверами.Another way to configure the reverse proxy servers is to let the SSL connections pass straight through to the Exchange servers behind the reverse proxy servers. При использовании любой модели развертывания клиенты в Интернете подключаются к обратному прокси-серверу с использованием имени узла для доступа к Exchange, например mail.contoso.com.With either deployment model, the clients on the Internet connect to the reverse proxy server using a host name for Exchange access, such as mail.contoso.com. Затем обратный прокси-сервер подключается к Exchange с использованием другого имени узла, например имени компьютера сервера клиентского доступа Exchange.Then the reverse proxy server connects to Exchange using a different host name, such as the machine name of the Exchange Client Access server. Нет необходимости включать имя компьютера сервера клиентского доступа Exchange в сертификат, так как большинство распространенных обратных прокси-серверов могут сопоставлять исходное имя узла, используемое клиентом, с внутренним именем узла сервера клиентского доступа Exchange. .You don't have to include the machine name of the Exchange Client Access server on your certificate because most common reverse proxy servers are able to match the original host name that's used by the client to the internal host name of the Exchange Client Access server.

SSL и разделение DNSSSL and split DNS

Разделение DNS — это технология, позволяющая настроить разные IP-адреса для одного и того же имени узла в зависимости от того, откуда поступил исходный DNS-запрос.Split DNS is a technology that allows you to configure different IP addresses for the same host name, depending on where the originating DNS request came from. Такая служба еще известна как DNS расщепления горизонта.This is also known as split-horizon DNS, split-view DNS, or split-brain DNS. Она помогает снизить количество имен узлов для Exchange, которыми необходимо управлять, позволяя клиентам использовать одно и то же имя узла для подключения к Exchange как из Интернета, так и из интрасети.Split DNS can help you reduce the number of host names that you must manage for Exchange by allowing your clients to connect to Exchange through the same host name whether they're connecting from the Internet or from the intranet. Разделение DNS позволяет запросам, происходящим из интрасети, получать IP-адреса, отличные от запросов, полученных из Интернета.Split DNS allows requests that originate from the intranet to receive a different IP address than requests that originate from the Internet.

Разделение DNS обычно не требуется в небольших развертываниях Exchange, так как пользователи могут получать доступ к одной и той же конечной точке DNS независимо от того, откуда они поступают из интрасети или из Интернета.Split DNS is usually unnecessary in a small Exchange deployment because users can access the same DNS endpoint whether they're coming from the intranet or the Internet. Однако в случае больших развертываний эта конфигурация приведет к чрезмерному увеличению нагрузки на исходящий прокси-сервер Интернета и обратный прокси-сервер.However, with larger deployments, this configuration will result in too high of a load on your outgoing Internet proxy server and your reverse proxy server. Для более крупных развертываний настройте разделение DNS, чтобы, например, внешние пользователи могли получить доступ к mail.contoso.com и внутренним пользователям для доступа к internal.contoso.com.For larger deployments, configure split DNS so that, for example, external users access mail.contoso.com and internal users access internal.contoso.com. Использование разделенной DNS для такой конфигурации гарантирует, что пользователям не придется забывать об использовании разных имен узлов в зависимости от того, где они находятся.Using split DNS for this configuration ensures that your users won't have to remember to use different host names depending on where they're located.

Удаленная оболочка Windows PowerShellRemote Windows PowerShell

Проверка подлинности Kerberos и шифрование Kerberos используются для удаленного доступа Windows PowerShell, как из центра администрирования Exchange, так и из командной консоли Exchange.Kerberos authentication and Kerberos encryption are used for remote Windows PowerShell access, from both the Exchange admin center (EAC) and the Exchange Management Shell. Таким образом, вам не придется настраивать SSL-сертификаты для использования с удаленной оболочкой Windows PowerShell.Therefore, you won't have to configure your SSL certificates for use with remote Windows PowerShell.

Рекомендации по использованию цифровых сертификатовDigital certificates best practices

Хотя конфигурация цифровых сертификатов в организации изменяется в зависимости от текущих потребностей, эти рекомендации помогут вам подобрать оптимальную конфигурацию цифровых сертификатов.Although the configuration of your organization's digital certificates will vary based on its specific needs, information about best practices has been included to help you choose the digital certificate configuration that's right for you.

Рекомендация: использование надежного стороннего сертификатаBest practice: Use a trusted third-party certificate

Чтобы запретить клиентам получать сообщения об ошибках, связанных с недоверенными сертификатами, сертификат, используемый сервером Exchange Server, должен быть выдан кем-то, которому доверяет клиент.To prevent clients from receiving errors regarding untrusted certificates, the certificate that's used by your Exchange server must be issued by someone that the client trusts. Несмотря на то, что большинство клиентов можно настроить для доверия любому сертификату или поставщику сертификата, проще использовать доверенный сторонний сертификат на сервере Exchange.Although most clients can be configured to trust any certificate or certificate issuer, it's simpler to use a trusted third-party certificate on your Exchange server. Это связано с тем, что большинство клиентов уже доверяют их корневые сертификаты.This is because most clients already trust their root certificates. Существует несколько сторонних поставщиков сертификатов, которые предоставляют сертификаты, настроенные специально для Exchange.There are several third-party certificate issuers that offer certificates configured specifically for Exchange. С помощью центра администрирования Exchange можно создавать запросы на сертификаты, которые работают с большинством поставщиков сертификатов.You can use the EAC to generate certificate requests that work with most certificate issuers.

Выбор центра сертификацииHow to select a certification authority

Центр сертификации (CA) — это компания, которая выдает и гарантирует допустимость сертификатов.A certification authority (CA) is a company that issues and ensures the validity of certificates. Клиентское программное обеспечение (например, браузеры Microsoft Internet Explorer или операционные системы, такие как Windows или Mac OS) имеют встроенный список доверенных центров сертификации.Client software (for example, browsers such as Microsoft Internet Explorer, or operating systems such as Windows or Mac OS) have a built-in list of CAs they trust. Этот список обычно можно настроить для добавления и удаления CAs, но такая конфигурация часто бывает утомительной.This list can usually be configured to add and remove CAs, but that configuration is often cumbersome. При выборе ЦС для приобретения сертификатов используйте следующие условия:Use the following criteria when you select a CA to buy your certificates from:

  • Убедитесь, что центр сертификации является доверенным клиентским программным обеспечением (операционными системами, браузерами и мобильными телефонами), которые будут подключаться к серверам Exchange.Ensure the CA is trusted by the client software (operating systems, browsers, and mobile phones) that will connect to your Exchange servers.

  • Выберите центр сертификации, который говорит, что он поддерживает единые сертификаты связи для использования с Exchange Server.Choose a CA that says it supports "Unified Communications certificates" for use with Exchange server.

  • Убедитесь, что ЦС поддерживает типы сертификатов, которые вы будете использовать.Make sure that the CA supports the kinds of certificates that you'll use. Рекомендуется использовать сертификаты альтернативного имени субъекта (SAN).Consider using subject alternative name (SAN) certificates. Не все ЦС поддерживают сертификаты SAN, и другие ЦС не поддерживают столько имен узлов, сколько вам может потребоваться.Not all CAs support SAN certificates, and other CAs don't support as many host names as you might need.

  • Убедитесь, что лицензия, которую вы покупаете для сертификатов, позволяет разместить сертификат на нужном количестве серверов.Make sure that the license you buy for the certificates allows you to put the certificate on the number of servers that you intend to use. Некоторые ЦС позволяют разместить сертификат только на одном сервере.Some CAs only allow you to put a certificate on one server.

  • Сравните цены сертификатов между ЦС.Compare certificate prices between CAs.

Рекомендация: использование сертификатов SANBest practice: Use SAN certificates

В зависимости от того, как вы настраиваете имена служб в развертывании Exchange, серверу Exchange Server может потребоваться сертификат, который может представлять несколько доменных имен.Depending on how you configure the service names in your Exchange deployment, your Exchange server may require a certificate that can represent multiple domain names. Несмотря на то, что с помощью подстановочного *сертификата, например, для. contoso.com, можно решить эту проблему, многие клиенты неудобно использовать для обеспечения безопасности при обслуживании сертификата, который можно использовать для любого поддомена.Although a wildcard certificate, such as one for *.contoso.com, can resolve this problem, many customers are uncomfortable with the security implications of maintaining a certificate that can be used for any subdomain. Более надежная альтернатива — перечисление всех необходимых доменов в качестве San в сертификате.A more secure alternative is to list each of the required domains as SANs in the certificate. По умолчанию этот подход используется при создании запросов на сертификат в Exchange.By default, this approach is used when certificate requests are generated by Exchange.

Рекомендация: использование мастера сертификатов Exchange для запроса сертификатовBest practice: Use the Exchange certificate wizard to request certificates

В Exchange существует множество служб, использующих сертификаты.There are many services in Exchange that use certificates. При запросе сертификатов часто возникает ошибка, из-за которой запрос не включает правильный набор имен служб.A common error when requesting certificates is to make the request without including the correct set of service names. Мастер сертификатов в центре администрирования Exchange поможет включить правильный список имен в запросе на сертификат.The certificate wizard in the Exchange admin center will help you include the correct list of names in the certificate request. Мастер позволяет указать службы, с которыми должен работать сертификат, а в зависимости от выбранных служб включает имена, которые должны присутствовать в сертификате, чтобы его можно было использовать с этими службами.The wizard lets you specify which services the certificate has to work with and, based on the services selected, includes the names that you must have in the certificate so that it can be used with those services. Запустите мастер сертификатов, когда вы развернули начальный набор серверов Exchange 2013 и определили, какие имена узлов следует использовать для разных служб в развертывании.Run the certificate wizard when you've deployed your initial set of Exchange 2013 servers and determined which host names to use for the different services for your deployment. В идеале для каждого сайта Active Directory, на котором развертывается Exchange, необходимо один раз запустить мастер сертификатов.Ideally you'll only have to run the certificate wizard one time for each Active Directory site where you deploy Exchange.

Вместо того чтобы забыть об отсутствии имени узла в списке SAN приобретенного сертификата, вы можете использовать центр сертификации, который предлагает бесплатно льготный период, в течение которого вы можете вернуть сертификат и запросить один и тот же новый сертификат с несколькими Дополнительные имена узлов.Instead of worrying about forgetting a host name in the SAN list of the certificate that you purchase, you can use a certification authority that offers, at no charge, a grace period during which you can return a certificate and request the same new certificate with a few additional host names.

Рекомендация: Используйте как можно меньше имен узловBest practice: Use as few host names as possible

В дополнение к использованию как можно меньше сертификатов, также следует использовать как можно меньше имен узлов.In addition to using as few certificates as possible, you should also use as few host names as possible. Такая практика позволяет экономить деньги.This practice can save money. Многие поставщики сертификатов заоплачивают плату на основе количества имен узлов, которые вы добавляете в сертификат.Many certificate providers charge a fee based on the number of host names you add to your certificate.

Самый важный шаг, с помощью которого можно сократить количество имен узлов, которые необходимы, и, следовательно, сложность управления сертификатами, не включать имена узлов отдельных серверов в альтернативные имена субъектов сертификата.The most important step you can take to reduce the number of host names that you must have and, therefore, the complexity of your certificate management, is not to include individual server host names in your certificate's subject alternative names.

Имена узлов, которые необходимо включить в сертификаты Exchange, это имена узлов, используемые клиентскими приложениями для подключения к Exchange.The host names you must include in your Exchange certificates are the host names used by client applications to connect to Exchange. Ниже приведен список типичных имен узлов, которые требуются для компании Contoso:The following is a list of typical host names that would be required for a company named Contoso:

  • Mail.contoso.com: это имя узла охватывает большинство подключений к Exchange, включая Microsoft Outlook, Outlook Web App, мобильный Outlook, автономную адресную книгу, веб-службы Exchange, POP3, IMAP4, SMTP, панель управления Exchange и ActiveSync.Mail.contoso.com: This host name covers most connections to Exchange, including Microsoft Outlook, Outlook Web App, Outlook Anywhere, the Offline Address Book, Exchange Web Services, POP3, IMAP4, SMTP, Exchange Control Panel, and ActiveSync.

  • Autodiscover.contoso.com: это имя узла используется клиентами, поддерживающими службу автообнаружения, в том числе Microsoft Office Outlook 2007 и более поздних версий, Exchange ActiveSync и клиенты веб-служб Exchange.Autodiscover.contoso.com: This host name is used by clients that support Autodiscover, including Microsoft Office Outlook 2007 and later versions, Exchange ActiveSync, and Exchange Web Services clients.

  • Legacy.contoso.com: это имя узла необходимо в сценарии сосуществования с Exchange 2007 и Exchange 2013.Legacy.contoso.com: This host name is required in a coexistence scenario with Exchange 2007 and Exchange 2013. Если у вас есть клиенты с почтовыми ящиками в Exchange 2007 и Exchange 2013, то настройка устаревшего имени узла не позволяет пользователям изучать второй URL-адрес в процессе обновления.If you'll have clients with mailboxes on Exchange 2007 and Exchange 2013, configuring a legacy host name prevents your users from having to learn a second URL during the upgrade process.

Общие сведения о подстановочных сертификатахUnderstanding wildcard certificates

Сертификат с подстановочными знаками предназначен для поддержки домена и нескольких поддоменов.A wildcard certificate is designed to support a domain and multiple subdomains. Например, при настройке сертификата с подстановочными *знаками для. contoso.com в сертификате, который будет работать для mail.contoso.com, web.contoso.com и Autodiscover.contoso.com.For example, configuring a wildcard certificate for *.contoso.com results in a certificate that will work for mail.contoso.com, web.contoso.com, and autodiscover.contoso.com.