Поделиться через


Инструкции по настройке взаимного протокола TLS для безопасности домена

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2009-04-20

В данном разделе описывается использование командной консоли Exchange для настройки Mutual TLS для безопасности домена, набор функций в Microsoft Exchange Server 2007 и Microsoft Office Outlook 2007, которые предоставляют сравнительно недорогую альтернативу S/MIME и другим решениям по безопасности уровня сообщений.

Для иллюстрации в данном разделе показано, как администраторы Exchange и вымышленная компания Contoso настраивают свою среду Exchange 2007 для обмена сообщениями электронной почты безопасного домена со своим партнером — банком Woodgrove Bank. В данном сценарии компания Contoso намерена убедиться, что вся электронная почта, отправляемая банку Woodgrove Bank и получаемая от него, защищена с помощью функции Mutual TLS. Кроме того, компания Contoso предполагает настроить функции безопасности домена так, чтобы вся почта в банк Woodgrove Bank и из него отклонялась в случае невозможности использования функции Mutual TLS.

Компания Contoso имеет внутреннюю инфраструктуру открытого ключа (PKI), создающую сертификаты. Корневой сертификат PKI подписан главным сторонним центром сертификации. Банк Woodgrove Bank использует этот же сторонний центр сертификации для создания своих сертификатов. Поэтому и компании Contoso, и банк Woodgrove Bank доверяют центрам сертификации друг друга.

Чтобы настроить функцию Mutual TLS, администраторы Exchange в компании Contoso выполняют следующие процедуры:

  1. Создание запроса на TLS-сертификаты.

  2. Импорт сертификата на пограничные транспортные серверы.

  3. Настройка безопасности домена для исходящих сообщений.

  4. Настройка безопасности домена для входящих сообщений.

  5. Проверка потока почты.

Предварительная подготовка

Настройка функции Mutual TLS требует выполнения следующих условий:

  • Доступ к внутренним серверам Exchange 2007 с помощью командлета Set-TransportConfig и командлета New-SendConnector, если соединители отправления не настроены.

  • Доступ к компьютерам с пограничными транспортными серверами, на которых выполняются командлеты ExchangeCertificate.

В общем случае изменения конфигурации функций безопасности домена, выполняемые без использования командлетов ExchangeCertificate, должны производиться внутри организации и синхронизироваться с пограничными транспортными серверами с помощью службы EdgeSync Microsoft Exchange.

При импорте и настройке сертификатов TLS с помощью командлетов ExchangeCertificate следует выполнить эти командлеты на настраиваемом в данный момент пограничном транспортном сервере. Чтобы выполнить командлеты ExchangeCertificate на компьютере с установленной ролью пограничного транспортного сервера, необходимо войти в систему с учетной записью, являющейся членом локальной группы администраторов на этом компьютере.

Для выполнения командлета Set-TransportConfig используемой учетной записи необходимо делегировать роль администратора организации Exchange.

Для выполнения командлета New-SendConnector используемой учетной записи необходимо делегировать роль администратора сервера Exchange Server и членство в локальной группе администраторов на компьютере.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange 2007, см. в разделе Вопросы, связанные с разрешениями

В данной теме предполагается, что прочитаны и поняты разделы Создание сертификата или запроса сертификата для TLS.

Служба EdgeSync Microsoft Exchange должна быть полностью развернута для безопасности домена.

Для успешного запуска функции Mutual TLS на пограничном транспортном сервере необходимо настроить компьютер и среду PKI таким образом, чтобы можно было проверить достоверность сертификата и список отзыва сертификата. Дополнительные сведения см. в разделе Инструкции по активизации инфраструктуры открытых ключей (PKI) на сервере «Граничный транспорт» для системы безопасности домена.

Создание запроса на сертификаты TLS

Как уже упоминалось ранее в данном разделе, компания Contoso содержит внутреннюю инфраструктуру PKI, подчиняющуюся стороннему центру сертификации. В данном сценарии подчиненность означает, что центр сертификации, развернутый компанией Contoso в своей корпоративной инфраструктуре, содержит корневой сертификат, подписанный общедоступным сторонним центром сертификации. По умолчанию общедоступный сторонний центр сертификации является одним из доверенных корневых сертификатов в хранилище сертификатов Microsoft Windows. Поэтому любой клиент, который включает такой же сторонний центр сертификации в свое доверенное корневое хранилище и подключается к компании Contoso, может проверить подлинность сертификата, представленного компанией Contoso.

В компании Contoso имеется два пограничных транспортных сервера, для которых необходимы сертификаты TLS: mail1.contoso.com и mail2.mail.contoso.com. Поэтому администратор электронной почты компании Contoso должен создать два запроса на сертификаты — по одному запросу на сертификат для каждого сервера.

В следующих процедурах показана команда, которую администратор использует для создания запроса на сертификат PKCS#10 с поддержкой кодирования base64. Администратору компании Contoso необходимо выполнить эту команду два раза: один раз для CN=mail1.contoso.com и второй раз для CN=mail2.mail.contoso.com.

noteПримечание.
Общее имя (CN) в имени субъекта итогового сертификата будет, соответственно, следующим: mail1.contoso.com и mail2.mail.contoso.com. Альтернативное имя субъекта содержит имя "mail.contoso.com," которое является полным доменным именем (FQDN) одного из допустимых доменов, настроенных для компании Contoso.

Чтобы создать запрос на сертификат TLS

  • Выполните следующую команду:

    New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate" -Path c:\certificates\request.p7c -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com"  -DomainName mail.contoso.com
    

Дополнительные сведения о синтаксисе и параметрах команды см. в разделе New-ExchangeCertificate.

importantВажно!
Конкретные параметры создаваемого сертификата или запроса сертификата зависят от многих переменных. При создании сертификата сотрудничайте с администратором центра сертификации или PKI, который будет выдавать сертификат. Дополнительные сведения о создании запроса сертификата для TLS см. в разделе Создание сертификата или запроса сертификата для TLS.

Перенос сертификатов и связанных с ними ключей

После получения сертификата от PKI или поставщика центра сертификации преобразуйте его в PFX-файл (PKCS#12), чтобы создать его резервную копию на случай сбоя. PFX-файл содержит сертификат и связанные с ним ключи. В некоторых ситуациях может потребоваться перенести сертификат и ключи на другие компьютеры. Например, при наличии нескольких пограничных транспортных серверов, на которых предполагается получать и отправлять электронную почту, защищенную на уровне домена, можно создать один сертификат для всех серверов. В этом случае необходимо импортировать сертификат на каждый пограничный транспортный сервер, а затем включить для него поддержку TLS.

Если копия PFX-файла надежно сохранена, можно всегда импортировать и разрешать сертификат. PFX-файл содержит закрытый ключ, поэтому важно физически защитить его. Храните носитель с ним в безопасном месте.

Важно понимать, что командлет Import-ExchangeCertificate всегда помечает импортированный закрытый ключ из PFX как не подлежащий экспорту. Это не является ошибкой.

При использовании оснастки «Диспетчер сертификатов» консоли управления (MMC) для импорта PFX-файла можно определить возможность экспорта файла и сильную защиту ключа.

importantВажно!
Не включайте сильную защиту ключа для сертификатов, предназначенных для TLS. При сильной защите ключа при каждом доступе к закрытому ключу выводится запрос для пользователя. При использовании безопасности домена «пользователем» является служба SMTP на пограничном транспортном сервере.

Импорт сертификатов на пограничные транспортные серверы.

После того, как администратор создал запросы на сертификаты, он использует эти запросы для создания сертификатов для серверов. Итоговые сертификаты должны выпускаться или в виде одиночного сертификата, или в виде цепочки сертификатов и копироваться на соответствующие пограничные транспортные серверы.

importantВажно!
Чтобы импортировать сертификаты, необходимо использовать командлет Import-ExchangeCertificate. Дополнительные сведения см. в разделе Import-ExchangeCertificate.
importantВажно!
Не следует использовать оснастку «Диспетчер сертификатов» консоли управления (MMC) для импорта сертификатов для TLS на сервер Exchange. При использовании оснастки «Диспетчер сертификатов» для импорта сертификатов на серверы Exchange не происходит привязки созданного в данной процедуре запроса к выпущенному сертификату. Поэтому протокол TLS может не работать. Оснастку «Диспетчер сертификатов» можно использовать для импорта сертификатов и ключей, которые хранятся в PFX-файлах, а хранилище локального компьютера. После импорта сертификатов можно включить для них поддержку протокола TLS с помощью командлета Enable-ExchangeCertificate.

При импорте сертификата на пограничный транспортный сервер следует также задействовать сертификат для службы SMTP. Администратор компании Contoso выполняет следующую команду на каждом пограничном транспортном сервере по одному разу для каждого соответствующего сертификата.

Чтобы импортировать и задействовать сертификат TLS для безопасности домена на пограничном транспортном сервере

  • Выполните следующую команду:

    Import-ExchangeCertificate -Path c:\certificates\import.pfx | Enable-ExchangeCertificate -Services SMTP
    

Данная команда импортирует и задействует сертификат TLS путем конвейеризации командлета Enable-ExchangeCertificate.

Можно также задействовать сертификат после того, как он импортирован. Чтобы импортировать сертификат, выполните следующую команду:

Import-ExchangeCertificate -Path c:\certificates\import.pfx 

Затем скопируйте отпечаток в буфер обмена Windows. Чтобы вывести отпечаток только что импортированного сертификата, выполните следующую команду:

Get-ExchangeCertificate |FL

Скопируйте данные из поля Thumbprint в буфер обмена Windows.

Чтобы включить сертификат, выполните следующую команду:

Enable-ExchangeCertificate -Thumbprint AB493A0C9A6C0327162FE04EF74609CB8FB7FE24 -Services SMTP

Настройка безопасности домена для исходящих сообщений.

Чтобы настроить безопасность домена для исходящих сообщений, необходимо выполнить следующие три шага:

  1. Выполнить командлет Set-TransportConfig, чтобы задать домен, с которого предполагается отправлять сообщения электронной почты безопасного домена.

  2. Выполнить командлет Set-SendConnector, чтобы настроить свойство DomainSecureEnabled на соединителе отправления, который будет отправлять почту в домен, с которого предполагается отправлять сообщения электронной почты безопасного домена.

  3. Выполнить командлет Set-SendConnector, чтобы проверить следующее:

    • Соединитель отправления, который будет отправлять почту в домен, с которого предполагается отправлять сообщения электронной почты безопасного домена, маршрутизирует почту с помощью службы доменных имен (DNS).

    • Полное доменное имя настроено на совпадение с именем субъекта или альтернативным именем субъекта сертификатов, используемых для безопасности домена.

Т.к. изменения, осуществляемые за эти три шага, являются глобальными, следует выполнить изменения на внутреннем сервере Exchange. Сделанные изменения в конфигурации будут реплицированы на пограничные транспортные серверы с помощью службы EdgeSync сервера Microsoft Exchange.

Задание домена отправителя в конфигурации транспорта

Это относительно прямой способ задания домена, с которого предполагается отправлять сообщения электронной почты безопасного домена. Администратор компании Contoso выполняет следующую команду на внутреннем сервере Exchange 2007:

Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com

Дополнительные сведения см. в разделе Set-TransportConfig.

noteПримечание.
В параметре TLSSendDomainSecureList используется многозначный список доменных имен. Команда Set-TransportConfig полностью заменяет значение параметра TLSSendDomainSecureList новым значением, которое поставляется в командлете. Поэтому если предполагается добавить новый домен, поставляемое значение должно содержать существующий список и новый домен.

Настройка соединителя отправления

Компания Contoso будет использовать свой соединитель отправления с поддержкой DNS-маршрутизации по умолчанию для отправления сообщений электронной почты безопасного домена своим партнерам. Т.к. соединитель отправления с поддержкой DNS-маршрутизации является соединителем отправления для Интернета по умолчанию, в нем для маршрутизации почты используется DNS и не используется промежуточный узел. Для полного доменного имени уже установлено значение mail.contoso.com. Т.к. сертификаты, созданные администратором компании, устанавливают для параметра DomainName сертификата New-ExchangeCertificate значение mail.contoso.com, соединитель отправления может использовать эти сертификаты без дополнительной настройки.

Если для тестирования был настроен дочерний домен, может потребоваться обновить полное доменное имя соединителя отправки так, чтобы оно соответствовало созданному сертификату (например subdomain.mail.contoso.com). С другой стороны, если создан сертификат, в полях субъекта и дополнительного имени субъекта которого указан дочерний домен, обновлять полное доменное имя соединителя отправки не требуется.

Поэтому единственной настройкой, которую должен выполнить администратор компании Contoso в отношении соединителя отправления, является задание значения параметра DomainSecureEnabled. Чтобы сделать это, администратор компании Contoso выполняет следующую команду на внутреннем сервере Exchange 2007 для соединителя отправления «Internet»:

Set-SendConnector Internet -DomainSecureEnabled:$True

Дополнительные сведения см. в разделе Set-SendConnector.

Можно также использовать консоль управления Exchange, чтобы задействовать электронную почту безопасного домена на соединителе отправления.

Использование консоли управления Exchange для настройки соединителя отправления для безопасности домена

  1. На транспортном сервере-концентраторе откройте консоль управления Exchange, раскройте последовательно Конфигурация организации, Транспортный концентратор и затем в области результатов выберите вкладку Соединители отправления.

  2. Выберите соединитель отправления, отправляющий почту в домен, из которого предполагается отправлять сообщения электронной почты безопасного домена, и затем в области действий нажмите кнопку Свойства.

  3. На вкладке Сеть установите флажок Включить функцию безопасности домена (Взаимная проверка подлинности с использованием протокола TLS), нажмите кнопку Применить и затем нажмите кнопку ОК.

Настройка безопасности домена для входящих сообщений.

Чтобы настроить безопасность домена для входящих сообщений, необходимо выполнить следующие два шага:

  1. Выполнить командлет Set-TransportConfig, чтобы задать домен, из которого предполагается получать сообщения электронной почты безопасного домена.

  2. На пограничном транспортном сервере следует использовать командную консоль Exchange или консоль управления Exchange, чтобы включить функцию безопасности домена на соединителе приема, из которого предполагается получать сообщения электронной почты безопасного домена. Поскольку для функции безопасности домена требуется проверка подлинности с использованием функции Mutual TLS, протокол TLS на соединителе приема должен быть также включен. 

Задание домена получателей в конфигурации транспорта

Это относительно прямой способ задания домена, из которого предполагается получать сообщения электронной почты безопасного домена. Чтобы задать домен, администратор компании Contoso выполняет следующую команду на внутреннем сервере Exchange 2007:

Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com

Дополнительные сведения см. в разделе Set-TransportConfig.

noteПримечание.
В параметре TLSSendDomainSecureList используется многозначный список доменных имен. Команда Set-TransportConfig полностью заменяет значение параметра TLSReceiveDomainSecureList новым значением, которое поставляется командлетом Set-TransportConfig. Поэтому если предполагается добавить новый домен, поставляемое значение должно содержать существующий список и новый домен.

Настройка соединителя приема

Следует настроить соединитель приема на каждом пограничном транспортном сервере, принимающем почту из домена, из которого предполагается принимать сообщения электронной почты безопасного домена. Среда компании Contoso настраивается так, чтобы существовал один соединитель приема для Интернета с идентификатором «Inet» или оба пограничных транспортных сервера. Следовательно, для включения протокола TLS при отправке почты в банк Woodgrove Bank или получения почты из этого банка, администратору компании Contoso следует убедиться, что протокол TLS включен на соединителе приема для Интернета по умолчанию или обоих пограничных транспортных серверах.

Использование командной консоли Exchange для настройки соединителя приема для безопасности домена

  • На пограничном транспортном сервере выполните следующую команду:

    Set-ReceiveConnector Inet -DomainSecureEnabled:$True -AuthMechanism TLS
    

Дополнительные сведения о синтаксисе и параметрах команды см. в разделе Set-ReceiveConnector.

Использование консоли управления Exchange для настройки соединителя приема для безопасности домена

  1. На пограничном транспортном сервере откройте консоль управления Exchange, нажмите кнопку Пограничный транспортный сервер и затем в области результатов выберите вкладку Соединители приема.

  2. Выберите соединитель приема, получающий почту из домена, из которого предполагается получать сообщения электронной почты безопасного домена, и затем в области действий нажмите кнопку Свойства.

  3. На вкладке Проверка подлинности установите флажки Протокол TLS и Включить безопасность домена (Взаимная проверка подлинности с использованием протокола TLS) и затем нажмите кнопку ОК.

Имейте ввиду, что задание механизма проверки подлинности в виде протокола TLS не приводит к использованию протокола TLS на всех входящих подключениях.

Протокол TLS принудительно включается для подключений от банка Woodgrove Bank по следующим причинам:

  • Банк Woodgrove Bank указывается в командлете Set-TransportConfig параметром TLSReceiveDomainSecureList.

  • На соединителе приема параметру DomainSecureEnabled присваивается значение $True.

Другие отправители, не указанные в списке параметра TLSReceiveDomainSecureList командлетаSet-TransportConfig, будут использовать протокол TLS только в случае, когда TLS поддерживается системой-отправителем.

noteПримечание.
Побочный эффект включения безопасности домена на соединителе приема заключается в том, что сертификат клиента запрашивается во время TLS-согласования. Если домен, из которого клиент отправляет сообщения, не включен в список безопасных доменов, клиенту отправляется предложение предоставить сертификат.

Проверка потока почты безопасного домена

После настройки электронной почты безопасного домена можно проверить подключение путем просмотра журналов производительности и журналов протоколов. Сообщения, успешно прошедшие проверку подлинности на всем пути потока почты безопасного домена, отображаются в Outlook 2007 в виде сообщений «Безопасность домена».

Счетчики производительности

Функция безопасности домена включает в себя следующий набор счетчиков производительности под заголовком Безопасный почтовый транспорт MSExchange:

  • Получено сообщений, защищенных на уровне домена

  • Отправлено сообщений, защищенных на уровне домена

  • Сбоев сеансов отправки исходящих сообщений, защищенных на уровне домена

Можно создать новый файл журнала счетчиков для потока почты безопасного домена с этими счетчиками производительности, чтобы отслеживать число отправленных и полученных сообщений, а также отслеживать неудачные сеансы с использованием функции Mutual TLS. Дополнительные сведения о порядке создания и настройке журналов счетчиков см. в фале справки, прилагаемом к оснастке MMC Журналы производительности и оповещения.

Журналы протоколов

Можно просмотреть журналы протоколов отправки и получения, чтобы определить, успешно ли выполнено TLS-согласование. При успешном TLS-согласовании создаются журналы, похожие на те, что приведены в следующих примерах.

Для просмотра подробных журналов протокола необходимо установить уровень ведения журнала протокола Verbose для соединителей, которые организация использует для получения и отправки электронной почты, защищенной на уровне домена.

Настройка соединителя приема для ведения подробного журнала протокола с помощью командной консоли Exchange

  • На пограничном транспортном сервере выполните следующую команду:

    Set-ReceiveConnector Inet -ProtocolLoggingLevel Verbose
    

    Inet — это имя соединителя приема, для которого включена электронная почта, защищенная на уровне домена.

Настройка соединителя отправки для ведения подробного журнала протокола с помощью командной консоли Exchange

  • На пограничном транспортном сервере выполните следующую команду:

    Set-SendConnector Internet -ProtocolLoggingLevel Verbose
    

    Internet — это имя соединителя отправки, для которого включена электронная почта, защищенная на уровне домена.

Пример журнала отправки

<220 edgedns3 ESMTP Microsoft ESMTP MAIL Service, Version: 8.0.647.0; Tue, 29 Aug 2006 04:22:00 -0700 (PDT)
>EHLO edgea36.dns.contoso.com
<250-edgedns3 Hello woodgrove.com [192.168.0.2], pleased to meet you
<250-ENHANCEDSTATUSCODES
<250-PIPELINING
<250-EXPN
<250-VERB
<250-8BITMIME
<250-SIZE
<250-DSN
<250-ETRN
<250-STARTTLS
<250-DELIVERBY
<250 HELP
>STARTTLS
<220 2.0.0 Ready to start TLS
*Sending certificate
*CN=edgea36, Certificate subject
*CN=edgea36, Certificate issuer name
*CA2EDF2487C6F09B4E413FD3812A7F89, Certificate serial number
*E8DA062786FD097DD8D79FF10C583CC23AD64F6C, Certificate thumbprint
*edgea36;edgea36.dns.contoso.com, Certificate alternate names
*Received certificate
*CN=smi.extest.contoso.com, OU=Contoso, O=Corp, L=Spokane, S=WA, C=US, Certificate subject
*CN=ExCertDom EntSub Issuing CA v1.0, DC=ExCertDom, DC=ExTest, DC=Contoso, DC=Com, Certificate issuer name
*446DD186000A00002819, Certificate serial number
*DC27B5F8657F84B15B5004BE63CE482721871582, Certificate thumbprint
*smi.extest.contoso.com, Certificate alternate names
>EHLO edgea36.dns.contoso.com
<250-edgedns3 Hello woodgrove.com [192.168.0.2], pleased to meet you
<250-ENHANCEDSTATUSCODES
<250-PIPELINING
<250-EXPN
<250-VERB
<250-8BITMIME
<250-SIZE
<250-DSN
<250-ETRN
<250-DELIVERBY
<250 HELP
*08C895F533E837EC;2006-08-28T22:37:53.323Z;1, sending message
>MAIL FROM:<user@example.com> SIZE=614
>RCPT TO:<root@smi.extest.contoso.com>
<250 2.1.0 <user@example.com>... Sender ok
<250 2.1.5 <root@smi.extest.contoso.com>... Recipient ok
>DATA
<354 Enter mail, end with "." on a line by itself
<250 2.0.0 k7TBM0BZ000043 Message accepted for delivery
>QUIT
<221 2.0.0 edgedns3 closing connection

Пример журнала получения

>220 edgea36 Microsoft ESMTP MAIL Service, Version: 8.0.647.0 ready at Mon, 28 Aug 2006 15:37:53 -0700
<EHLO edgedns3
>250-edgea36.dns.contoso.com Hello [192.168.0.1]
>250-SIZE 15728640
>250-PIPELINING
>250-DSN
>250-ENHANCEDSTATUSCODES
>250-STARTTLS
>250-AUTH
>250-8BITMIME
>250-BINARYMIME
>250 CHUNKING
<STARTTLS
>220 2.0.0 SMTP server ready
*Sending certificate
*CN=edgea36, Certificate subject
*CN=edgea36, Certificate issuer name
*CA2EDF2487C6F09B4E413FD3812A7F89, Certificate serial number
*E8DA062786FD097DD8D79FF10C583CC23AD64F6C, Certificate thumbprint
*edgea36;edgea36.dns.contoso.com, Certificate alternate names
*Received certificate
*CN=smi.extest.contoso.com, OU=Contoso, O=Corp, L=Spokane, S=WA, C=US, Certificate subject
*CN=ExCertDom EntSub Issuing CA v1.0, DC=ExCertDom, DC=ExTest, DC=Contoso, DC=Com, Certificate issuer name
*446DD186000A00002819, Certificate serial number
*DC27B5F8657F84B15B5004BE63CE482721871582, Certificate thumbprint
*smi.extest.contoso.com, Certificate alternate names
<EHLO edgedns3
>250-edgea36.dns.contoso.com Hello [192.168.0.1]
>250-SIZE 15728640
>250-PIPELINING
>250-DSN
>250-ENHANCEDSTATUSCODES
>250-AUTH
>250-8BITMIME
>250-BINARYMIME
>250 CHUNKING
<MAIL From:<user@smi.extest.contoso.com> SIZE=16
*08C895F533E837EC;2006-08-28T22:37:53.323Z;1, receiving message
>250 2.1.0 user@smi.extest.contoso.com Sender OK
<RCPT To:<user@woodgrove.com>
>250 2.1.5 user@woodgrove.com Recipient OK
<DATA
>354 Start mail input; end with <CRLF>.<CRLF>
>250 2.6.0 <200608281121.k7SBHYi0004586@edgedns3> Queued mail for delivery
<QUIT
>221 2.0.0 Service closing transmission channel

Дополнительные сведения о том, как просматривать журналы протоколов, см. в разделе Инструкции по настройке ведения журнала протокола.

Дополнительные сведения об управлении безопасностью домена Exchange 2007 см. в разделеУправление безопасностью домена.

Дополнительные сведения о настройке инфраструктуры открытых ключей см. в статье Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure (на английском языке).