Самозаверяющие сертификаты в Exchange Server 2007

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2009-12-23

Цифровые сертификаты — это электронные файлы, которые используются аналогично паролям для подтверждения подлинности пользователя или компьютера. Кроме того, сертификаты применяются для создания канала с SSL-шифрованием, который используется для связи между сервером сMicrosoft Exchange и клиентским компьютером или устройством. Цифровой сертификат — это документ, который выпускается центром сертификации; он подтверждает подлинность держателя сертификата и позволяет шифровать передаваемые данные.

Цифровые сертификаты выполняют следующие функции:

  • проверка того, что их владельцы — физические лица, веб-сайты и даже сетевые ресурсы, например маршрутизаторы, — действительно те, за кого они себя выдают;

  • защита передаваемых по сети данных от кражи или изменения.

Цифровые сертификаты могут выдаваться доверенным сторонним центром сертификации или инфраструктурой открытого ключа (PKI)Microsoft Windows с использованием служб сертификации. Кроме того, цифровые сертификаты могут быть самозаверяющими. При установке роли сервера клиентского доступа или сервера единой системы обмена сообщениями с Microsoft Exchange Server 2007 устанавливается самозаверяющий сертификат (если уже не существует другой цифровой сертификат). В этом документе приводятся общие сведения о самозаверяющем сертификате Exchange 2007, а также о том, в каких случаях его следует и не следует применять.

Дополнительные сведения об обеспечении безопасности сервера клиентского доступа Exchange 2007 см. в разделе Общие сведения об использовании протокола SSL на серверах клиентского доступа.

Общие сведения о самозаверяющем сертификате

При установке Exchange 2007 с ролью сервера клиентского доступа создается самозаверяющий сертификат. Самозаверяющий сертификат защищает данные, передаваемые между серверами Exchange 2007 в организации. Он также является временным решением для шифрования связи с клиентами, которое можно использовать до получения и установки другого сертификата. Самозаверяющий имеет две записи дополнительного имени субъекта: одну для NetBIOS-имени сервера клиентского доступа, а другую — для полного доменного имени сервера клиентского доступа. Хотя самозаверяющий сертификат можно использовать для шифрования связи между сервером клиентского доступа и другими ролями сервера Exchange Server 2007, не рекомендуется использовать его с клиентскими приложениями и устройствами. Из-за ограничений самозаверяющего сертификата рекомендуется заменить его доверенным сторонним сертификатом или сертификатом, подписанным инфраструктурой открытого ключа Windows.

noteПримечание.
Самозаверяющий сертификат устанавливается для каждой роли сервера Exchange 2007, кроме роли сервера почтовых ящиков.

Ограничения самозаверяющего сертификата

В представленном ниже списке описаны некоторые ограничения самозаверяющего сертификата.

  • Дата окончания срока действия: Самозаверяющий сертификат действителен в течение одного года с даты создания в версиях Exchange 2007, предшествующих Exchange 2007 с пакетом обновления 2 (SP2). В Exchange 2007 с пакетом обновления 2 (SP2) и более поздних версий самозаверяющие сертификаты действительны в течение пяти лет с даты создания. После этого требуется вручную создать новый самозаверяющий сертификат с помощью командлета New-ExchangeCertificate.

  • Мобильный Outlook: самозаверяющий сертификат не поддерживается мобильным Outlook. Если применяется мобильный Outlook, рекомендуется получить сертификат у инфраструктуры открытого ключа Windows или доверенный сторонний коммерческий сертификат.

  • Exchange ActiveSync: самозаверяющий сертификат нельзя использовать для шифрования связи между устройствами Microsoft Exchange ActiveSync и сервером Exchange. Для использования с Exchange ActiveSync рекомендуется получить сертификат у инфраструктуры открытого ключа Windows или доверенный сторонний коммерческий сертификат.

  • Outlook Web Access: пользователи Microsoft Outlook Web Access получат сообщение о том, что сертификат, используемый для защиты Outlook Web Access, не является доверенным. Эта ошибка возникает из-за того, что сертификат не подписан центром, которому доверяет клиент. Пользователи могут пропустить это сообщение и использовать самозаверяющий сертификат для Outlook Web Access. Однако рекомендуется получить сертификат у инфраструктуры открытого ключа Windows или доверенный сторонний коммерческий сертификат.

Истечение срока действия сертификата

Самозаверяющий сертификат действителен в течение одного года после установки роли сервера клиентского доступа или после создания сертификата в версиях Exchange 2007, предшествующих Exchange 2007 с пакетом обновления 2 (SP2). В Exchange 2007 с пакетом обновления 2 (SP2) и более поздних версий самозаверяющие сертификаты действительны в течение пяти лет с даты создания. Внутренние компоненты, для которых требуются самозаверяющие сертификаты по умолчанию, продолжают работать даже после истечения срока действия такого сертификата. Однакое после истечения срока действия самозаверяющего сертификата в средстве просмотра событий регистрируются указанные ниже события.

Тип события: Ошибка

Источник события: MSExchangeTransport

Категория события: TransportService

Код события: 12014

Дата: дата

Время: время

Пользователь: Н/Д

Компьютер: имя_сервера

Описание:

Microsoft Exchange не удается найти сертификат, содержащий имя домена <имя_домена>, в хранилище личных сертификатов на локальном компьютере, поэтому он не поддерживает команду STARTTLS SMTP для соединителя <сервер_по_умолчанию> с полным доменным именем <полное_доменное_имя>. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленных сертификатов, чтобы убедиться, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните командлет Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.

Дополнительные сведения см. в центре справки и поддержки по адресу http://go.microsoft.com/fwlink/?LinkID=34258.

Тип события: предупреждение

Источник события: MSExchangeTransport

Категория события: TransportService

Код события: 12015

Дата: дата

Время: время

Пользователь: Н/Д

Компьютер: имя_сервера

Описание:

Сертификат внутреннего транспорта устарел.

Отпечаток:значение_отпечатка

Дополнительные сведения см. в центре справки и поддержки по адресу http://go.microsoft.com/fwlink/?LinkID=34258.

Рекомендуется обновлять самозаверяющие сертификаты до истечения срока их действия. Для обновления самозаверяющего сертификата путем его клонирования можно использовать командную консоль Exchange. Чтобы клонировать сертификат, сначала нужно получить отпечаток текущего сертификата по умолчанию для домена с помощью командлета Get-ExchangeCertificate.

noteПримечание.
Приведенные ниже командлеты необходимо запускать с локального сервера клиентского доступа Exchange 2007. Удаленно они не запускаются.
Get-ExchangeCertificate -DomainName CAS01.contoso.com

В списке сертификатов в разделе Службы выберите сертификат, который содержит символ W, например, IP.WS. Наличие этого символа указывает, что сертификат назначен службам IIS.

Чтобы клонировать сертификат, выполните следующий командлет:

Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate

Клонированный сертификат получит отметку новой даты окончания срока действия (через год с даты выполнения командлета)

Случаи, в которых можно использовать самозаверяющий сертификат

Самозаверяющий сертификат можно использовать для шифрования связи для некоторых протоколов и в некоторых ситуациях. Клиенты Outlook, присоединенные к домену, могут использовать самозаверяющий сертификат для шифрования сообщений электронной почты и канала связи между клиентом и сервером Exchange. Как указывалось выше, пользователи Outlook Web Access также могут шифровать каналы связи с помощью самозаверяющих сертификатов. Кроме того, их можно применять для шифрования связи между серверами клиентского доступа на различных сайтах службы каталогов Active Directory. Для правильной работы такого сценария (который называется «перенаправление между серверами клиентского доступа») требуется изменить реестр.

Использование самозаверяющего сертификата для клиентов Outlook 2007, присоединенных к домену

Для работы самозаверяющего сертификата с клиентами Microsoft Office Outlook 2007, присоединенными к домену, не требуется дополнительная настройка. При подключении таких клиентов не выводятся предупреждения безопасности, потому что URL-адреса, используемые ими для подключения к службе автообнаружения, ссылаются на внутреннее полное доменное имя сервера клиентского доступа. Самозаверяющий сертификат имеет общее имя, сопоставленное с NetBIOS-именем сервера. Кроме того, самозаверяющий сертификат включает полное доменное имя сервера в качестве дополнительного DNS-имени, которое хранится в поле дополнительного имени субъекта. Это позволяет клиентам, присоединенным к домену, успешно подключаться к службе автообнаружения без вывода предупреждений о сертификате, так как срок действия сертификата не истек, а полное доменное имя сервера, к которому выполняется подключение, хранится в его поле дополнительного имени субъекта. Хотя клиенту не удается проверить самозаверяющий сертификат до доверенного корня, это разрешается при подключении клиентов, присоединенных к домену, к службе автообнаружения с помощью самозаверяющего сертификата. Тем не менее не рекомендуется долгосрочно применять самозаверяющий сертификат, так как его основная цель — позволить отложить на некоторое время получение надлежащего сертификата и дать клиентам Outlook 2007 возможность немедленно приступить к использованию Exchange 2007.

Использование самозаверяющего сертификата с перенаправлением

Для успешного использования самозаверяющего сертификата для шифрования связи между клиентами и серверами в сценарии с перенаправлением необходимо выполнить несколько действий. Дополнительные сведения о перенаправлении см. в разделе Общие сведения по передаче данных через прокси-соединения и перенаправление.

Для поддержки применения самозаверяющих сертификатов с перенаправлением требуется изменить реестр. Клиенты получат сообщение при подключении к серверу клиентского доступа Exchange 2007, так как самозаверяющий сертификат считается недопустимым большинством клиентских приложений, таких как Exchange ActiveSync и Microsoft Office Outlook 2007. Как Exchange ActiveSync, так и Outlook Web Access поддерживают перенаправление с одного сервера клиентского доступа на другой. Чтобы обеспечить успешное перенаправление при использовании самозаверяющего сертификата, на сервере клиентского доступа с выходом в Интернет необходимо настроить следующие разделы реестра:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1

  • HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternallUntrustedCerts = 1

Эти разделы реестра позволят серверу клиентского доступа с входом в Интернет подключаться к серверу клиентского доступа без выхода в Интернет с помощью самозаверяющего сертификата, установленного на сервере без выхода в Интернет. Если сервер клиентского доступа с выходом в Интернет использует самозаверяющий сертификат для связи с клиентами, будут применяться все описанные выше ограничения.

UNRESOLVED_TOKEN_VAL(exRegistry) 

Случаи, в которых нельзя использовать самозаверяющий сертификат

Хотя использование самозаверяющих сертификатов поддерживается для клиентов Microsoft Office Outlook 2007, присоединенных к домену, и Outlook Web Access, не рекомендуется долговременно применять их в любых целях, кроме шифрования связи между серверами Exchange 2007 в организации. Для большинства (если не всех) возможностей сервера клиентского доступа, таких как Exchange ActiveSync, Outlook Web Access и Outlook, рекомендуется получить сертификат от Windows PKI или доверенного стороннего центра сертификации и импортировать его в доверенное корневое хранилище на каждом компьютере или устройстве.

importantВажно!
Самозаверяющий сертификат не поддерживается мобильным Outlook и Exchange ActiveSync.

Дополнительные сведения

Дополнительные сведения о SSL, сертификатах и Exchange 2007 см. в следующих разделах: