Uso de la seguridad de dominio: Configuración de TLS mutua
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2009-12-07
En este tema, se explica cómo configurar la Seguridad de la capa de transporte (TLS) mutua para la seguridad de dominio, el conjunto de funciones en Microsoft Exchange Server 2010 y Microsoft Office Outlook 2007 que proporciona una alternativa de coste relativamente bajo a S/MIME y otras soluciones de seguridad para los mensajes.
En este escenario, este tema explica cómo los administradores de Exchange de una compañía ficticia, Contoso, configuran su entorno de Exchange 2010 para intercambiar correo electrónico de dominio seguro con su socio, Woodgrove Bank. Los administradores de Contoso desean asegurarse de que todo el correo electrónico que se envía a Woodgrove Bank y que se recibe de él esté protegido con TLS mutua. Además, desean configurar la funcionalidad de seguridad de dominio para que todo el correo dirigido a Woodgrove Bank y procedente de él sea rechazado si no se puede usar TLS mutua.
Contoso tiene una infraestructura de clave pública (PKI) que genera certificados. El certificado raíz de PKI ha sido firmado por una importante entidad de certificación (CA) de terceros. Woodgrove Bank utiliza la misma CA de terceros para generar sus certificados. Por tanto, tanto Contoso como Woodgrove Bank confían en la CA raíz del otro.
Para configurar la TLS mutua, los administradores de Exchange de Contoso llevan a cabo los procedimientos siguientes:
Paso 1: Generar una solicitud de certificado para certificados TLS
Paso 2: Importar certificados a servidores de transporte perimetral
Paso 3: Configurar la seguridad de dominio saliente
Paso 4: Configurar la seguridad de dominio entrante
Paso 5: Probar el flujo de correo seguro de dominio
Requisitos previos
En este tema, se da por sentado que ha leído y entendido Generar solicitudes para servicios de certificados de terceros.
El servicio EdgeSync de Microsoft Exchange debe estar implementado completamente para la seguridad de dominio. Por lo general, los cambios de configuración que se realizan en la funcionalidad de seguridad de dominio que no usan los cmdlets ExchangeCertificate se realizan dentro de la organización y se sincronizan con los servidores de transporte perimetral mediante el servicio EdgeSync de Microsoft Exchange.
Antes de poder ejecutar correctamente TLS mutua en un servidor de transporte perimetral, debe configurar el equipo y el entorno PKI de modo que la comprobación de listas de validación de certificados y de revocación de certificados sean operativas. Para obtener más información, vea Uso de PKI en el servidor Transporte perimetral para la seguridad del dominio (en inglés).
Si bien, en esta situación, los pasos de configuración individual se pueden realizar con menos derechos, para completar todas las tareas de situación de descentralización, su cuenta debe pertenecer al grupo de funciones de administración Administración de la organización.
Paso 1: Generar una solicitud de certificado para certificados TLS
Contoso tiene una PKI interna que está subordinada a una CA externa. En este caso, la subordinación hace referencia al hecho de que la CA implementada por Contoso en la infraestructura corporativa contiene un certificado raíz firmado por una CA pública externa. De forma predeterminada, la CA pública de terceros es uno de los certificados raíz de confianza en el almacén de certificados de MicrosoftWindows. Por tanto, cualquier cliente que incluya la misma CA externa en su almacén raíz de confianza y que se conecte a Contoso se puede autenticar con el certificado presentado por Contoso.
Contoso tiene dos servidores de transporte perimetral que requieren certificados TLS: mail1.contoso.com y mail2.mail.contoso.com. Por tanto, el administrador de correo electrónico de Contoso debe generar dos solicitudes de certificado, una para cada servidor.
En el siguiente ejemplo, se muestran los comandos que usa el administrador para generar solicitudes de certificados PKCS#10 con codificación Base64.
El administrador de Contoso debe ejecutar este comando para CN=mail1.contoso.com.
$Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1
El administrador de Contoso debe ejecutar este comando para CN=mail2.mail.contoso.com.
$Data2 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail2" -SubjectName "DC=com,DC=Contoso,CN=mail2.mail.contoso.com" -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail2-request.req" -Value $Data2
Para obtener información más detallada acerca de la sintaxis y los parámetros, vea New-ExchangeCertificate (en inglés).
Importante
Los detalles especificaos del certificado o de la solicitud de certificado que cree dependen de muchas variables. Si genera una solicitud, asegúrese de trabajar estrechamente con el administrador de CA o PKI que emitirá el certificado. Para obtener más información acerca de cómo crear una solicitud de certificado para TLS, consulte Generar solicitudes para servicios de certificados de terceros.
Volver al principio
Paso 2: Importar certificados a servidores de transporte perimetral
Una vez que el administrador de Contoso genera las solicitudes de certificado, el administrador de CA de Contoso las usa para generar los certificados para los servidores. Los certificados resultantes se deben emitir como certificado simple o cadena de certificados y copiar a los servidores de transporte perimetral adecuados.
Importante
No utilice el complemento Administrador de certificados de Microsoft Management Console (MMC) para importar los certificados para TLS en el servidor de Exchange. El uso del complemento Administrador de certificados para importar certificados en servidores de Exchange no vincula la solicitud que se crea en este procedimiento con el certificado emitido. Por lo tanto, es posible que TLS genere un error. Puede usar el complemento Administrador de certificados para importar certificados y claves almacenadas como archivos .pfx en el almacén del equipo local.
Cuando importa el certificado en el servidor de transporte perimetral, también debe habilitar dicho certificado para el servicio SMTP. El administrador de Contoso ejecuta el comando siguiente en cada servidor de transporte perimetral, una vez para cada certificado respectivo.
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\Certificates\mail1-certificate.pfx -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP
En el ejemplo anterior, se importa y se habilita el certificado TLS mediante la canalización al cmdlet Enable-ExchangeCertificate. También puede habilitar el certificado después de importarlo. Si lo hace, deberá especificar la huella digital del certificado que desea habilitar.
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte los temas Import-ExchangeCertificate y Enable-ExchangeCertificate.
Transporte de certificados y claves relacionadas
Cuando reciba un certificado del proveedor de PKI o CA, convierta el certificado emitido en un archivo .pfx (PKCS#12) de forma que pueda hacer copia de seguridad de éste como parte de una contingencia de desastres. El certificado y las claves relacionadas están incluidos en un archivo .pfx. En algunos casos, es posible que desee transportar el certificado y las claves para moverlas a otros equipos. Por ejemplo, si tiene varios servidores de transporte perimetral en los que espera enviar y recibir correo electrónico de dominio seguro, puede crear un único certificado que funcione en todos los servidores. En este caso, debe importar y habilitar el certificado para TLS en todos los servidores de transporte perimetral.
Mientras tenga guardada una copia del archivo .pfx de forma segura, siempre podrá importar y habilitar el certificado. El archivo .pfx contiene la clave privada, por lo que es importante que proteja físicamente el archivo conservándolo en un medio de almacenamiento en una ubicación segura.
Es importante comprender que el cmdlet Import-ExchangeCertificate siempre marca la clave privada importada desde el archivo .pfx como "no exportable". Ésta funcionalidad es intencionada.
Cuando usa el complemento Administrador de certificados en MMC para importar un archivo .pfx, puede especificar la exportabilidad de claves privadas y la protección de claves de alta seguridad.
Importante
No habilite la protección de claves seguras en certificados proyectados para TLS. La protección de claves seguras se solicita al usuario cada vez que obtiene acceso a la clave privada. Con la seguridad de dominio, el usuario es el servicio SMTP del servidor de transporte perimetral.
Volver al principio
Paso 3: Configurar la seguridad de dominio saliente
Debe llevar a cabo tres pasos para configurar la seguridad de dominio saliente:
Ejecute el cmdlet Set-TransportConfig para especificar el dominio con el que desea enviar correo electrónico seguro de dominio.
Ejecute el cmdlet Set-SendConnector para configurar la propiedad DomainSecureEnabled en el conector de envío que enviará correo al dominio con el que desea enviar correo electrónico seguro de dominio.
Ejecute el cmdlet Get-SendConnector para comprobar lo siguiente:
El conector de envío que enviará correo al dominio con el que desea enviar correo electrónico seguro de dominio enruta el correo electrónico con Sistema de nombres de dominio (DNS).
El FQDN está configurado para que coincida con el nombre del sujeto o con el nombre alternativo del sujeto de los certificados que está usando para seguridad de dominio.
Dado que los cambios que se realicen en estos tres pasos son globales, debe implementar dichos cambios en un servidor Exchange interno. Los cambios de configuración que haga se replicarán en los servidores de transporte perimetral mediante el servicio EdgeSync de Microsoft Exchange.
Paso 3a: Especificar el dominio del remitente en la configuración de transporte
Es relativamente sencillo especificar el dominio con el que desea enviar correo electrónico de dominio seguro. El administrador de Contoso ejecuta el siguiente comando en un servidor interno de Exchange 2010.
Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com
El parámetro TLSSendDomainSecureList toma una lista multivalor de nombres de dominio. El comando Set-TransportConfig sustituye todo el valor de TLSSendDomainSecureList con el nuevo valor proporcionado en el cmdlet. Por lo tanto, si ya tiene otros dominios configurados y desea agregar un dominio nuevo, debe incluir el dominio existente en la lista o usar una variable temporal. En el siguiente ejemplo, se muestra cómo agregar el dominio woodgrovebank.com al parámetro TLSSendDomainSecureList sin sobrescribir los valores existentes.
$TransportConfig = Get-TransportConfig
$TransportConfig.TLSSendDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSSendDomainSecureList $TransportConfig.TLSSendDomainSecureList
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-TransportConfig.
Paso 3b: Configurar el conector de envío predeterminado
Contoso usará el conector de envío enrutado por DNS predeterminado denominado "Internet" para enviar correo electrónico de dominio seguro a sus socios. Dado que su conector de envío enrutado por DNS predeterminado es un conector de envío de Internet predeterminado, usa DNS para enrutar el correo y no un host inteligente. El FQDN ya está establecido en mail.contoso.com
. Dado que los certificados que creó el administrador de Contoso establecen el parámetro DomainName de New-ExchangeCertificate en mail.contoso.com
, el conector de envío puede usar certificados sin configuración adicional.
Si ha configurado un subdominio para la realización de pruebas, es posible que deba actualizar el FQDN del conector de envío para que coincida con el certificado que ha creado (por ejemplo, subdominio.correo.contoso.com). Por otro lado, si ha creado un certificado que contiene el subdominio en los campos Asunto o Nombre alternativo del sujeto, no tiene que actualizar el FQDN del conector de envío.
Por tanto, el administrador de Contoso únicamente debe establecer el parámetro DomainSecureEnabled en el conector de envío. Para ello, ejecuta el siguiente comando en un servidor interno de Exchange 2010 para el conector de envío de Internet.
Set-SendConnector Internet -DomainSecureEnabled:$true
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-SendConnector.
Paso 3c: Comprobar la configuración del conector de envío
Después de completar los cambios de configuración, el administrador de Contoso debe comprobar que el conector de envío que se usa para la seguridad de dominio esté configurado correctamente. Para ello, el administrador de Contoso debe ejecutar el siguiente comando.
Get-SendConnector Internet | Format-List Name,DNSRoutingEnabled,FQDN,DomainSecureEnabled
Este comando enumerará los parámetros relevantes configurados para la seguridad de dominio, lo que permitirá al administrador de Contoso comprobar la configuración.
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Get-SendConnector.
Volver al principio
Paso 4: Configurar la seguridad de dominio entrante
Debe ejecutar dos pasos para habilitar la seguridad de dominio entrante:
Ejecute el cmdlet Set-TransportConfig para especificar el dominio desde el que desea recibir correo electrónico seguro de dominio.
En el servidor de transporte perimetral, use el Shell de administración de Exchange o la Consola de administración de Exchange (EMC) para habilitar la seguridad de dominio en el conector de recepción desde el que desea recibir correo electrónico de dominio seguro. Dado que la seguridad de dominio requiere autenticación TLS mutua, en el conector de recepción también se debe habilitar TLS.
Paso 4a: Especificar el dominio de destinatario en la configuración de transporte
Es relativamente sencillo especificar el dominio con el que desea recibir correo electrónico de dominio seguro. Para especificar el dominio, el administrador de Contoso ejecuta el siguiente comando en el Shell de un servidor interno de Exchange 2010 o una estación de trabajo de administración.
Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com
El parámetro TLSReceiveDomainSecureList toma una lista multivalor de nombres de dominio. El comando Set-TransportConfig sustituye todo el valor del parámetro TLSReceiveDomainSecureList con el nuevo valor proporcionado por el cmdlet Set-TransportConfig. Por lo tanto, si ya tiene otros dominios configurados y desea agregar un dominio nuevo, debe incluir el dominio existente en la lista o usar una variable temporal. En el siguiente ejemplo, se muestra cómo agregar el dominio woodgrovebank.com al parámetro TLSReceiveDomainSecureList sin sobrescribir los valores existentes.
$TransportConfig = Get-TransportConfig
$TransportConfig.TLSReceiveDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSReceiveDomainSecureList $TransportConfig.TLSReceiveDomainSecureList
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-TransportConfig.
Paso 4b: Configurar el conector de recepción
Debe configurar el conector de recepción en cada servidor de transporte perimetral que acepte correo desde el dominio desde el que se desea recibir correo electrónico seguro de dominio. El entorno de Contoso está configurado para tener un único conector de recepción de Internet, con un valor de parámetro Identity de Internet en ambos servidores de transporte perimetral. Por tanto, para habilitar TLS mientras se envía o se recibe correo desde Woodgrove Bank, el administrador de Contoso se debe asegurar de que TLS está habilitado en el conector de recepción de Internet predeterminado en ambos servidores de transporte perimetral. Para ello, el administrador de Contoso ejecuta el siguiente comando en correo1.contoso.com y en correo2.mail.contoso.com.
Set-ReceiveConnector Internet -DomainSecureEnabled $true -AuthMechanism TLS
Para obtener información más detallada acerca de la sintaxis y los parámetros, vea Set-ReceiveConnector (en inglés).
Asimismo, se puede usar la EMC para configurar el conector de recepción mediante los siguientes pasos.
En un servidor de transporte perimetral, abra la EMC, haga clic en Transporte perimetral y, a continuación, en el panel de resultados, haga clic en la ficha Conectores de recepción.
Seleccione el conector de recepción que acepta correo desde el dominio desde el que desea recibir correo electrónico de dominio seguro, el conector Internet en este caso y, a continuación, haga clic en Propiedades en el panel de acciones.
En la ficha Autenticación, seleccione Seguridad de nivel de transporte (TLS) y Habilitar la seguridad de dominio (Autenticación TLS mutua) y, a continuación, haga clic en Aceptar.
Tenga en cuenta que especificar el mecanismo de autenticación como TLS no fuerza TLS en todas las conexiones entrantes.
TLS se forzará en las conexiones de Woodgrove Bank por los siguientes motivos:
Woodgrove Bank está especificado en el cmdlet Set-TransportConfig en el parámetro TLSReceiveDomainSecureList.
El parámetro DomainSecureEnabled está establecido en
$true
, en el conector de recepción.
Otros remitentes que no se enumeran en el parámetro TLSReceiveDomainSecureList en el cmdlet Set-TransportConfig sólo usarán TLS si es compatible con el sistema de envío.
Volver al principio
Paso 5: Probar el flujo de correo seguro de dominio
Tras configurar el correo electrónico de dominio seguro, puede probar la conexión revisando los registros de rendimiento y los registros de protocolo. Los mensajes que se han autenticado correctamente sobre la ruta de flujo de correo de dominio seguro se muestran en Outlook como mensajes de dominio seguro.
Contadores de rendimiento
La función Seguridad de dominio incluye el siguiente conjunto de contadores de rendimiento en Transporte de correo seguro de MSExchange:
Mensajes recibidos de dominio seguro
Mensajes enviados de dominio seguro
Errores de sesión salientes de dominio seguro
Puede crear un nuevo archivo de registro de contadores para flujo de correo seguro de dominio con estos contadores de rendimiento para supervisar el número de mensajes enviados y recibidos así como las sesiones de TLS mutua con error. Para obtener más información acerca de cómo crear y configurar registros de contador, consulte el archivo de ayuda incluido en el complemento MMC Registros y alertas de rendimiento.
Registros de protocolo
Puede revisar los registros de protocolo de envío y recepción para determinar si la negociación de TLS ha tenido éxito.
Para ver los registros de protocolo detallados, debe establecer el nivel de registro de protocolo en Verbose
, en los conectores que use su organización para enviar y recibir correo electrónico de dominio seguro. Para ello, el administrador de Contoso ejecuta lo siguiente en ambos servidores de transporte perimetral.
Set-ReceiveConnector Internet -ProtocolLoggingLevel Verbose
Para habilitar el registro de protocolo en el conector de envío, el administrador de Contoso ejecuta lo siguiente en un servidor interno de Exchange o una estación de trabajo de administración. A continuación, el cambio de configuración es replicado a los servidores de transporte perimetral mediante el servicio EdgeSync de Microsoft Exchange.
Set-SendConnector Internet -ProtocolLoggingLevel Verbose
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte los temas Set-ReceiveConnector y Set-SendConnector.
Para obtener más información acerca de cómo ver registros de protocolo, vea Configurar el registro de protocolo (en inglés).
Volver al principio
© 2010 Microsoft Corporation. Reservados todos los derechos.