Uso de PKI en el servidor Transporte perimetral para la seguridad del dominio
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2012-07-23
La seguridad del dominio depende de la Seguridad de el nivel de transporte (TLS) mutua para la autenticación. Una autenticación de TLS mutua que funcione correctamente depende de una cadena de certificados X.509 validada de confianza para los certificados TLS que usa la seguridad del dominio.
Por lo tanto, antes de implementar la seguridad del dominio correctamente, es necesario configurar el servidor de transporte perimetral y la infraestructura de claves públicas (PKI) X.509 para aceptar la validación y confianza de certificados.
Importante
Proporcionar una explicación detallada de los conceptos y tecnologías de los certificados y la criptografía no entra dentro del ámbito de este tema. Antes de implementar una solución de seguridad que use certificados X.509 y criptografía, es recomendable que entienda los conceptos básicos de confianza, autenticación, cifrado e intercambio de claves públicas y privadas relacionados con la criptografía. Para obtener más información, vea las listas referenciadas al final de este tema.
Configurar entidad de certificación de raíz
Para validar un certificado X.509 específico, debe confiar en la entidad de certificación (CA) de raíz que emitió el certificado. Una CA de raíz es la CA de más confianza, que ocupa la parte superior de una jerarquía de CA. El CA de raíz tiene un certificado autofirmado. Al ejecutar una aplicación que dependa de un certificado de autenticación, cada certificado debe tener una cadena de certificados que termine en un certificado en el contenedor raíz de confianza del equipo local. El contendor raíz de confianza contiene certificados de entidades de certificación de raíz.
Para enviar correos electrónicos de dominio seguro correctamente, debe validar el certificado X.509 del servidor de recepción. De la misma manera, cuando alguien envía un correo electrónico de dominio seguro a su organización, el servidor que lo envía debe validar su certificado.
Hay dos tipos de CA de raíz de confianza que puede usar para implementar la seguridad de dominio: CA de raíz de terceros integrados y privados.
Entidades de certificación de raíz de terceros
Microsoft Windows incluye un conjunto de CA de raíz de terceros integrados. Si confía en los certificados emitidos por estas CA raíz de terceros, podrá comprobar los certificados emitidos por estas CA. Si su organización y las organizaciones asociadas usan la instalación de Windows predeterminada y confían en las CA raíz de terceros integradas, la confianza es automática. En este caso, no se necesita configuración de confianza adicional.
Entidades de certificación de raíz de confianza privadas
Una CA de raíz de confianza privada es una CA de raíz implementada por un PKI privado o interno. Por ejemplo, cuando su organización o la organización con la que intercambia correo electrónico de dominio seguro haya implementado un PKI interno con su certificado de raíz propio, es necesario realizar configuraciones de confianza adicionales.
Cuando se usa una CA raíz privada, es necesario actualizar el almacén de certificados raíz de confianza de Windows en el servidor de transporte perimetral para que la seguridad de dominio funcione correctamente.
Es posible configurar la confianza de dos maneras: confianza de raíz directa e intercambio de certificaciones. Es necesario entender que cuando el servicio de transporte recoge un certificado, lo valida antes de usarlo. Por lo tanto, si usa una CA de raíz privada para emitir certificados, es necesario incluir dicha CA en el almacén de certificados de raíz de confianza en el servidor Transporte perimetral que envía o recibe correo electrónico de dominio seguro.
Confianza de raíz directa
Si desea confiar en un certificado emitido por una CA de raíz privada, puede agregar manualmente ese certificado de raíz al almacén de certificados de raíz de confianza en el equipo del servidor de transporte perimetral. Para obtener más información acerca de como agregar certificados manualmente al almacén de certificados local, vea el archivo de Ayuda del complemento Administrador de certificados en la Consola de administración (MMC) de Microsoft.
Intercambio de certificaciones
El intercambio de certificaciones ocurre cuando un CA firma un certificado generado por un CA distinto. El intercambio de certificaciones se usa para construir confianza entre un PKI y otro PKI. En el contexto de seguridad de dominio, si tiene su propio PKI, en lugar de usar confianza manual directa con una entidad de certificación de raíz de un socio a un PKI interno, puede crear un intercambio de certificaciones para la CA asociada en su entidad de certificación de raíz. En este caso, la confianza se establece porque el intercambio de certificaciones se encadena finalmente con su raíz de confianza.
Es necesario entender que si tiene un PKI interno y se usa el intercambio de certificaciones, deberá actualizar manualmente el almacén de certificados de raíz en cada servidor de transporte perimetral que reciba correo electrónico de dominio seguro para que cada servidor de transporte perimetral valide certificados al recibir correo electrónico de sus socios en los que se confía a través del intercambio de certificaciones.
Para obtener más información acerca de cómo agregar certificados manualmente al almacén de certificados local, vea el archivo de Ayuda del complemento administrador de certificados en la MMC.
Configurar el acceso a la lista de certificados revocados
Cuando el servicio de transporte recupere un certificado, validará la cadena de certificados y el certificado. La validación del certificado es un proceso en el que se confirman muchos atributos del certificado. La aplicación del equipo local que solicita el certificado puede confirmar la mayoría de estos atributos. Por ejemplo, el uso que se quiere dar al certificado, la fecha de expiración del certificado y los atributos similares se pueden comprobar fuera del contexto de un PKI. Sin embargo, es necesario que la comprobación de que no se ha revocado el certificado se valide con la CA que emitió el certificado. Por lo tanto, la mayoría de CA elaboran una lista de certificados revocados (CRL) disponible al público para validar el estado de revocación.
Para usar la seguridad de domino correctamente, las CRL de las CA que use o usen sus socios deben estar disponibles para los servidores de transporte perimetral que envíen y reciban correo electrónico de dominio seguro. Si se produce un error en la comprobación de la revocación, el servidor de recepción de Exchange emitirá un protocolo temporal de rechazo del mensaje. Es posible que se produzca un error en la revocación transitoria. Por ejemplo, puede producirse un error en el servidor web que se usa para publicar la CRL. También es posible que problemas de conectividad de red generales entre el servidor de transporte perimetral y el punto de distribución de CRL provoquen un error en la comprobación de la revocación. Por lo tanto, los errores en la revocación transitoria sólo provocan retrasos en la entrega de correo temporalmente dado que el servidor de envío lo volverá a intentar posteriormente. Sin embargo, la validación de CRL es necesaria para una correcta transmisión de correo electrónico de dominio seguro.
Es necesario habilitar las situaciones siguientes:
Los servidores de transporte perimetral deben poder tener acceso a las CRL de CA externas Cada socio con el que intercambie correo electrónico de dominio seguro debe tener disponibles públicamente las CRL con las que el servidor de transporte perimetral de su organización pueda ponerse en contacto. En algunos casos, las CRL sólo estarán disponibles con Protocolo ligero de acceso a directorios (LDAP). En la mayoría de casos, con CAs públicos, los CRLs se publican via HTTP. Asegúrese de que se han configurado los puertos de salida y proxies apropiados para permitir al servidor Transporte perimetral ponerse en contacto con la CRL. Puede determinar qué protocolo acepta un determinado punto de distribución CRL abriendo un certificado en MMC, en el campo Puntos de distribución CRL.
Es necesario que la CRL de la CA que emite certificados esté disponible públicamente Es necesario entender que incluso cuando un servidor de transporte perimetral recupera un certificado de su propia organización, valida la cadena de certificados y el certificado. Por lo tanto, la CRL de su CA debe estar disponible para sus propios servidores de transporte perimetral. Además, todos los socios con los que intercambia correo electrónico seguro deben poder tener acceso a la CRL de la CA que emite los certificados.
Configuración de Proxy para WinHTTP
Los servidores de transporte de Exchange 2010 se basan en los servicios HTTP subyacentes de Microsoft Windows (WinHTTP) para administrar todo el tráfico HTTP y HTTPS. Tanto los servidores de transporte de concentradores como los servidores de transporte perimetral utilizan HTTP para obtener acceso a las actualizaciones de Standard Anti-spam Filter Updates de MicrosoftExchange 2010 y para la validación de lista de revocación de certificados (CRL).
Para obtener más información, consulte Configurar el proxy para WinHTTP.
Probar la configuración de proxy y PKI
Para comprobar la configuración de proxy y PKI para un servidor de transporte perimetral específico, use Certutil.exe para comprobar la cadena de certificado de su certificado de servidor de transporte perimetral. Certutil.exe es una herramienta de línea de comandos que se instala como parte de los servicios de certificados en sistemas operativos Windows Server 2008. Para obtener más información, consulte Probar la configuración de proxy y PKI.
© 2010 Microsoft Corporation. Reservados todos los derechos.