Quản lý các chứng chỉ trong Exchange - Phần 1

Các chứng chỉ có thể được sử dụng để mã hóa luồng dữ liệu truyền thông giữa hai điểm kết cuối (cả các máy chủ và các máy khách). Bên cạnh đó các chứng chỉ cũng được sử dụng bởi các điểm kết cuối này để tự thẩm định bản thân chúng đối với các thành phần khác. Exchange 2007 sử dụng các chứng chỉ X.509 để thẩm định và mã hóa. Các chứng chỉ này tuân theo một định dạng chuẩn khi được công bố bởi ITU-T (Telecommunication Standardization Sector). Có một vài thành phần trong Exchange 2007 dựa...
Nội dung trích xuất từ tài liệu:
Quản lý các chứng chỉ trong Exchange - Phần 1 Quản lý các chứng chỉ trong Exchange - Phần 1 Các chứng chỉ có thể được sử dụng để mã hóa luồng dữ liệu truyền thông giữa hai điểm kết cuối (cả các máy chủ và các máy khách). Bên cạnh đó các chứng chỉ cũng được sử dụng bởi các điểm kết cuối này để tự thẩm định bản thân chúng đối với các thành phần khác. Exchange 2007 sử dụng các chứng chỉ X.509 để thẩm định và mã hóa. Các chứng chỉ này tuân theo một định dạng chuẩn khi được công bố bởi ITU-T (Telecommunication StandardizationSector).Có một vài thành phần trong Exchange 2007 dựa vào các chứng chỉ để phục vụ cho mục đích mãhóa và thẩm định hoặc cả hai. Trong phần một của loạt bài này, chúng tôi sẽ cung cấp cho cácbạn một cách nhìn tổng quan về các thành phần khác nhau của Exchange có sử dụng các chứngchỉ. Sau đó chúng tôi sẽ giới thiệu sâu hơn về các tính năng của mỗi một chứng chỉ self-signedđược tạo một cách mặc định.Việc Sử dụng chứng chỉ bởi các thành phần Exchange Server 2007Như giới thiệu ở trên, một số thành phần của Exchange Server 2007 có sử dụng các chứng chỉX.509 cho việc mã hóa và thẩm định hoặc cả hai. Bạn sẽ thấy rằng khi cài đặt Exchange 2007Hub Transport server role, Client Access server role, Unified Messaging server role và EdgeTransport server role, Exchange sẽ tạo một chứng chỉ self-signed mặc định để bảo đảm rằng cácthành phần duy nhất của nó có thể sử dụng chứng chỉ đó để thực hiện chức năng như yêu cầu.Hình 1 bên dưới thể hiện cho các bạn thấy chứng chỉ self-signed được tạo bởi Exchange như thếnào trong suốt quá trình cài đặt các role Exchange 2007 Client Access, Hub và UnifiedMessaging. Chứng chỉ này sẽ được sử dụng bởi các dịch vụ: IIS, SMTP, POP, IMAP và UM. Hình 1: Chứng chỉ self-signed được tạo mặc định khi cài đặt role Exchange 2007 HUB, CAS, UM serverCác chứng chỉ và role Hub/Edge TransportBảo mật lớp truyền tải giữa các site Active DirectoryRole Exchange 2007 Hub Transport server sử dụng một chứng chỉ để mã hóa tất cả lưu lượnggiữa các site Active Directory. Bạn không thể cấu hình Exchange để cho phép lưu lượng SMTPkhông bị mã hóa giữa các máy chủ Hub Transport nằm trong các site khác nhau.Để xem chứng chỉ nào được sử dụng giữa các máy chủ Hub Transport nằm trong các site ActiveDirectory khác nhau, hãy sử dụng giao thức SMTP đăng nhập vào Send connector bên trong tổchức trên mỗi máy chủ Hub Transport, xem trong hình 2 bên dưới, bằng cách sử dụng lệnh Set-TransportServer của Exchange Management Shell. Hình 2: Thiết lập IntraOrgConnectorProtocolLogging thành verboseBằng cách thiết lập IntraOrgConnectorProtocolLoggingLevel thành verbose, giao thức đăngnhập sẽ được bổ sung vào bản ghi giao thức của Send connector. Sau khi gửi một mail từMailbox trong site B đến một Mailbox được đặt trên máy chủ Mailbox Exchange 2007 trong siteA, quan sát bản ghi giao thức Send bạn sẽ thấy được rằng Exchange Hub Transport server trongSite B (Ex2007SE) sử dụng chứng chỉ được cung cấp bởi Exchange Hub Transport server trongsite Active Directory đích (Ex2007EE) để khởi động Transport Layer Security, xem cụ thể tronghình 3. Hình 3: Gửi bản ghi giao thức giữa các site Active DirectoryBạn có thể quan sát ngay được chứng chỉ trên máy chủ Hub Transport đang ở trạng thái có sẵncho TLS, điều đó thể hiện rằng nó là một chứng chỉ self-signed đã được sử dụng (hình 4). Hình 4: Chứng chỉ Self SignedEdgeSyncOnce EdgeSync được cấu hình giữa các máy chủ Hub Transport bên trong và Edge Transport, cảhai máy chủ đều sẽ sử dụng một chứng chỉ để mã hóa vấn đề truyền thông của chúng. Thêm vàođó, cả hai đều sẽ được sử dụng để cung cấp chỉ thị cho sự tin cậy. Sự tin cậy này là một phươngpháp thẩm định nơi chứng chỉ có thể được sử dụng để thẩm định khi chứng chỉ đã cấp hiện diệntrong Active Directory (với Hub Transport server role) hoặc ADAM/LDS (cho Edge Transportserver role). Khi thiết lập EdgeSync, các chứng chỉ được yêu cầu sẽ được công bố trong đúnglocation.Bảo mật lớp truyền tảiBất cứ khi nào một máy chủ mở mọt kết nối với Exchange 2007 Hub/Edge Transport server role,Exchange sẽ cho phép một TLS bằng cách cung cấp chứng chỉ của nó.Bảo mật miềnCác chứng chỉ cũng có thể được sử dụng bởi Hub/Edge Transport để cấu hình Domain Securityvới các tổ chức đối tác, cả mã hóa và thẩm định.Role Client Access Server và các chứng chỉClient AccessCác chứng chỉ được sử dụng bởi Client Access server role để cho phép luồng dữ liệu truyềnthông được mã hóa giữa Client Access server và các máy khách của nó. Mặc định SSL được yêucầu cho: • Outlook Web Access ...