Использование безопасности домена: настройка протокола MTLS
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2009-12-07
В этом разделе описан способ настройки протокола Mutual TLS для безопасности домена — набора функций в Microsoft Exchange Server 2010 и Microsoft Office Outlook 2007, которые являются сравнительно недорогой альтернативой S/MIME и другим решениям безопасности на уровне сообщений.
В этом разделе также показано, как администраторы Exchange в вымышленной компании Contoso настраивают среду Exchange 2010 для обмена сообщениями электронной почты, защищенной на уровне домена, со своим партнером — банком Woodgrove Bank. По текущему сценарию администраторам Contoso необходимо быть уверенными, что вся электронная почта, отправляемая в банк Woodgrove Bank и получаемая из него, защищена с помощью протокола Mutual TLS. Кроме того, необходимо настроить функции безопасности домена так, чтобы вся почта в банк Woodgrove Bank и из него отклонялась при невозможности использования протокола Mutual TLS.
Компания Contoso имеет внутреннюю инфраструктуру открытого ключа (PKI), создающую сертификаты. Корневой сертификат PKI подписан главным сторонним центром сертификации. Банк Woodgrove Bank использует этот же сторонний центр сертификации для создания своих сертификатов. Поэтому компания Contoso и банк Woodgrove Bank доверяют сторонним центрам сертификации.
Чтобы настроить функцию Mutual TLS, администраторы Exchange в компании Contoso выполняют следующие процедуры:
Шаг 1. Создание запроса на сертификаты TLS
Шаг 2. Импорт сертификатов на пограничные транспортные серверы
Шаг 3. Настройка безопасности домена для исходящих сообщений
Шаг 4. Настройка безопасности домена для входящих сообщений
Шаг 5. Проверка потока почты безопасного домена
Предварительные условия
Изучение этого раздела предполагает предварительное ознакомление с разделом Создание запросов для сторонних служб сертификатов.
Для безопасности домена необходимо использовать полностью развернутую службу EdgeSync Microsoft Exchange. Обычно изменения конфигурации функций безопасности домена, не использующих командлеты ExchangeCertificate, выполняются внутри организации и синхронизируются с пограничными транспортными серверами с помощью службы EdgeSync Microsoft Exchange.
Для успешного запуска функции Mutual TLS на пограничном транспортном сервере необходимо настроить компьютер и среду PKI таким образом, чтобы можно было проверить достоверность сертификата и список отзыва сертификата. Дополнительные сведения см. в разделе Включение инфраструктуры открытых ключей на пограничном транспортном сервере для безопасности домена.
Несмотря на то что отдельные шаги настройки по этому сценарию можно выполнять с меньшими правами, для выполнения задач всего сквозного сценария учетная запись пользователя должна являться участником группы ролей управления «Управление организацией».
Шаг 1. Создание запроса на сертификаты TLS
Компания Contoso имеет внутреннюю инфраструктуру PKI, которая подчиняется стороннему центру сертификации. В этом сценарии подчиненность значит, что центр сертификации, развернутый компанией Contoso в своей корпоративной инфраструктуре, содержит корневой сертификат, подписанный общим сторонним центром сертификации. По умолчанию общедоступный сторонний центр сертификации является одним из доверенных корневых сертификатов в хранилище сертификатов Microsoft Windows. Поэтому любой клиент, который включает такой сторонний центр сертификации в свое доверенное корневое хранилище и подключается к компании Contoso, может проверить подлинность сертификата, представленного компанией Contoso.
В компании Contoso имеется два пограничных транспортных сервера, для которых необходимы сертификаты TLS: mail1.contoso.com и mail2.mail.contoso.com. Поэтому администратор электронной почты компании Contoso должен создать два запроса на сертификаты — по одному запросу на сертификат для каждого сервера.
В следующем примере показаны команды, которые использует администратор для создания запросов на сертификат PKCS#10 с кодировкой base64.
Администратору Contoso необходимо запустить эту команду для CN=mail1.contoso.com.
$Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1
Администратору Contoso необходимо запустить эту команду для CN=mail2.mail.contoso.com.
$Data2 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail2" -SubjectName "DC=com,DC=Contoso,CN=mail2.mail.contoso.com" -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail2-request.req" -Value $Data2
Дополнительные сведения о синтаксисе и параметрах команды см. в разделе New-ExchangeCertificate.
Важно! |
---|
Конкретные параметры создаваемого сертификата или запроса сертификата зависят от многих переменных. При создании запроса убедитесь, что сотрудничайте непосредственно с администратором центра сертификации или PKI, который будет выдавать сертификат. Дополнительные сведения о создании запроса на сертификат TLS см. в разделе Создание запросов для сторонних служб сертификатов. |
В начало
Шаг 2. Импорт сертификатов на пограничные транспортные серверы
После создания запросов на сертификаты администратором Contoso администратор центра сертификации для компании Contoso использует эти запросы, чтобы создать сертификаты для серверов. Итоговые сертификаты должны выпускаться или в виде одиночного сертификата, или в виде цепочки сертификатов и копироваться на соответствующие пограничные транспортные серверы.
Важно! |
---|
Не используйте оснастку диспетчера сертификатов в консоли управления Microsoft (MMC) для импорта сертификатов TLS на сервер Exchange. При использовании оснастки диспетчера сертификатов для импорта сертификатов на серверы Exchange не выполняется привязка созданного с помощью этой процедуры запроса к выданному сертификату. Поэтому протокол TLS может не работать. Оснастку диспетчера сертификатов можно использовать для импорта сертификатов и ключей, которые хранятся в PFX-файлах, в хранилище локального компьютера. |
При импорте сертификата на пограничный транспортный сервер необходимо также включить сертификат для службы SMTP. Администратор компании Contoso выполняет следующую команду на каждом пограничном транспортном сервере по одному разу для каждого соответствующего сертификата.
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\Certificates\mail1-certificate.pfx -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP
В предыдущем примере показано, как импортировать и включить сертификат TLS с помощью передачи сертификата по конвейеру в командлет Enable-ExchangeCertificate. Можно также задействовать сертификат после того, как он импортирован. В этом случае необходимо указать отпечаток сертификата, который необходимо включить.
Дополнительные сведения о синтаксисе и параметрах см. в разделах Import-ExchangeCertificate и Enable-ExchangeCertificate.
Перенос сертификатов и связанных с ними ключей
После получения сертификата от поставщика PKI или центра сертификации преобразуйте его в PFX-файл (PKCS#12), чтобы создать его резервную копию на случай сбоя. PFX-файл содержит сертификат и связанные с ним ключи. В некоторых ситуациях может потребоваться перенести сертификат и ключи на другие компьютеры. Например, при наличии нескольких пограничных транспортных серверов, на которых необходимо получать и отправлять электронную почту, защищенную на уровне домена, можно создать один сертификат для всех серверов. В этом случае необходимо импортировать сертификат на каждый пограничный транспортный сервер, а затем включить для него поддержку TLS.
Если копия PFX-файла надежно заархивирована, импортировать и включить сертификат можно в любое время. PFX-файл содержит закрытый ключ, поэтому важно физически защитить его. Храните носитель с закрытым ключом в безопасном месте.
Важно понимать, что командлет Import-ExchangeCertificate всегда помечает импортированный из PFX-файла закрытый ключ как неэкспортируемый. Это не является ошибкой.
При использовании оснастки диспетчера сертификатов в консоли управления Microsoft (MMC) для импорта PFX-файла можно указать возможность экспорта закрытого ключа и сильную защиту ключа.
Важно! |
---|
Не включайте сильную защиту ключа для сертификатов, предназначенных для TLS. При сильной защите ключа при каждом доступе к закрытому ключу выводится запрос для пользователя. При использовании безопасности домена «пользователем» является служба SMTP на пограничном транспортном сервере. |
В начало
Шаг 3. Настройка безопасности домена для исходящих сообщений
Чтобы настроить безопасность домена для исходящих сообщений, необходимо выполнить следующие три шага:
Выполнить командлет Set-TransportConfig, чтобы задать домен, с которого предполагается отправлять сообщения электронной почты безопасного домена.
Выполните командлет Set-SendConnector, чтобы настроить свойство DomainSecureEnabled на соединителе отправки, отправляющем почту в домен, с которого необходимо отправлять электронную почту безопасного домена.
Выполните командлет Get-SendConnector, чтобы проверить соблюдение следующих условий.
Соединитель отправления, который будет отправлять почту в домен, с которого предполагается отправлять сообщения электронной почты безопасного домена, маршрутизирует почту с помощью службы доменных имен (DNS).
Имя FQDN настроено в соответствии с именем субъекта или дополнительным именем субъекта сертификатов, используемых для безопасности домена.
Т.к. изменения, осуществляемые за эти три шага, являются глобальными, следует выполнить изменения на внутреннем сервере Exchange. Выполненные изменения конфигурации будут реплицированы на пограничные транспортные серверы с помощью службы Microsoft Exchange EdgeSync.
Шаг 3а. Указание домена отправителя в конфигурации транспорта
Это относительно простой способ указания домена, с которого необходимо отправлять электронную почту, защищенную на уровне домена. Администратор компании Contoso выполняет следующую команду на внутреннем сервере Exchange 2010:
Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com
В параметре TLSSendDomainSecureList используется многозначный список доменных имен. Команда Set-TransportConfig полностью заменяет значение параметра TLSSendDomainSecureList новым значением, указанным в командлете. Поэтому, если другие домены уже настроены и предполагается добавить новый домен, необходимо добавить существующий домен в список или использовать временную переменную. В следующем примере показано, как добавить домен woodgrovebank.com в параметр TLSSendDomainSecureList без перезаписи существующих значений.
$TransportConfig = Get-TransportConfig
$TransportConfig.TLSSendDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSSendDomainSecureList $TransportConfig.TLSSendDomainSecureList
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-TransportConfig.
Шаг 3б. Настройка соединителя отправки по умолчанию
Компания Contoso будет использовать соединитель отправки по умолчанию с поддержкой DNS-маршрутизации с именем «Интернет» для отправки партнерам электронной почты, защищенной на уровне домена. Так как соединитель отправки по умолчанию с поддержкой DNS-маршрутизации является соединителем отправки для Интернета по умолчанию, в нем для маршрутизации почты используется служба DNS и не используется промежуточный узел. Для полного доменного имени уже установлено значение mail.contoso.com
. Так как сертификаты, созданные администратором Contoso, устанавливают для параметра DomainName командлета New-ExchangeCertificate значение mail.contoso.com
, соединитель отправки может использовать эти сертификаты без дополнительной настройки.
Если поддомен настроен для тестирования, может потребоваться обновить имя FQDN соединителя отправки в соответствии созданному сертификату (например, subdomain.mail.contoso.com). С другой стороны, если создан сертификат, в полях имени субъекта или дополнительного имени субъекта которого указан поддомен, обновлять имя FQDN соединителя отправки не требуется.
Поэтому единственной настройкой, которую должен выполнить администратор компании Contoso в отношении соединителя отправки, является указание значения параметра DomainSecureEnabled. Для этого администратор Contoso выполняет следующую команду на внутреннем сервере Exchange 2010 для соединителя отправки «Интернет»:
Set-SendConnector Internet -DomainSecureEnabled:$true
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-SendConnector.
Шаг 3в. Проверка конфигурации соединителя отправки
После выполнения изменений конфигурации администратору Contoso необходимо убедиться, что соединитель отправки, используемый для безопасности домена, настроен правильно. Для этого администратор Contoso должен выполнить следующую команду.
Get-SendConnector Internet | Format-List Name,DNSRoutingEnabled,FQDN,DomainSecureEnabled
Эта команда отображает список соответствующих параметров, настроенных для безопасности домена, и позволяет администратору Contoso проверить конфигурацию.
Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-SendConnector.
В начало
Шаг 4. Настройка безопасности домена для входящих сообщений
Чтобы настроить безопасность домена для входящих сообщений, необходимо выполнить следующие два шага:
Выполнить командлет Set-TransportConfig, чтобы задать домен, из которого предполагается получать сообщения электронной почты безопасного домена.
На пограничном транспортном сервере используйте командную консоль Exchange или консоль управления Exchange, чтобы включить безопасность домена на соединителе получения, с которого необходимо получать электронную почту, защищенную на уровне домена. Поскольку для функции безопасности домена требуется проверка подлинности с использованием функции Mutual TLS, протокол TLS на соединителе приема должен быть также включен.
Шаг 4а. Указание домена получателя в конфигурации транспорта
Это относительно простой способ указания домена, с которого необходимо получать электронную почту, защищенную на уровне домена. Чтобы указать домен, администратору компании Contoso необходимо выполнить следующую команду в командной консоли Exchange на внутреннем сервере Exchange 2010 или управляющей рабочей станции.
Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com
В параметре TLSReceiveDomainSecureList используется многозначный список доменных имен. Команда Set-TransportConfig полностью заменяет значение параметра TLSReceiveDomainSecureList новым значением, указанным в командлете Set-TransportConfig. Поэтому, если другие домены уже настроены и предполагается добавить новый домен, необходимо добавить существующий домен в список или использовать временную переменную. В следующем примере показано, как добавить домен woodgrovebank.com в параметр TLSReceiveDomainSecureList без перезаписи существующих значений.
$TransportConfig = Get-TransportConfig
$TransportConfig.TLSReceiveDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSReceiveDomainSecureList $TransportConfig.TLSReceiveDomainSecureList
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-TransportConfig.
Шаг 4б. Настройка соединителя получения
Следует настроить соединитель приема на каждом пограничном транспортном сервере, принимающем почту из домена, из которого предполагается принимать сообщения электронной почты безопасного домена. Среда компании Contoso настраивается так, чтобы на обоих пограничных транспортных серверах использовался один соединитель получения «Интернет» со значением параметра Identity «Интернет». Следовательно, для включения протокола TLS при отправке почты в банк Woodgrove Bank или получения почты из этого банка, администратору компании Contoso следует убедиться, что протокол TLS включен на соединителе приема для Интернета по умолчанию или обоих пограничных транспортных серверах. Для этого администратор Contoso на серверах mail1.contoso.com и mail2.mail.contoso.com выполняет следующую команду.
Set-ReceiveConnector Internet -DomainSecureEnabled $true -AuthMechanism TLS
Дополнительные сведения о синтаксисе и параметрах команды см. в разделе Set-ReceiveConnector.
Кроме того, чтобы настроить соединитель получения, в консоли управления Exchange можно выполнить следующие шаги.
На пограничном транспортном сервере откройте консоль управления Exchange, выберите Пограничный транспортный сервер и в области результатов откройте вкладку Соединители получения.
Выберите соединитель получения, принимающий почту из домена, с которого необходимо получать электронную почту, защищенную на уровне домена (в данном случае это соединитель Интернета). Затем в области действий нажмите кнопку Свойства.
На вкладке Проверка подлинности установите флажки Протокол TLS и Включить безопасность домена (Взаимная проверка подлинности с использованием протокола TLS) и затем нажмите кнопку ОК.
Имейте ввиду, что задание механизма проверки подлинности в виде протокола TLS не приводит к использованию протокола TLS на всех входящих подключениях.
Протокол TLS принудительно включается для подключений от банка Woodgrove Bank по следующим причинам:
Банк Woodgrove Bank указан в командлете Set-TransportConfig с помощью параметра TLSReceiveDomainSecureList.
На соединителе получения для параметра DomainSecureEnabled установлено значение
$true
.
Другие отправители, которые не указаны в списке параметра TLSReceiveDomainSecureList командлета Set-TransportConfig, будут использовать протокол TLS, только если он поддерживается системой-отправителем.
В начало
Шаг 5. Проверка потока почты безопасного домена
После настройки электронной почты, защищенной на уровне домена, можно проверить подключение. Для этого необходимо просмотреть журналы производительности и журналы протоколов. Сообщения, успешно прошедшие проверку подлинности на всем пути потока почты, защищенной на уровне домена, отображаются в Outlook в виде сообщений «Защищено на уровне домена».
Счетчики производительности
Функция безопасности домена включает в себя следующий набор счетчиков производительности под заголовком Безопасный почтовый транспорт MSExchange:
Получено сообщений, защищенных на уровне домена
Отправлено сообщений, защищенных на уровне домена
Сбоев сеансов отправки исходящих сообщений, защищенных на уровне домена
Можно создать новый файл журнала счетчиков для потока почты безопасного домена с этими счетчиками производительности, чтобы отслеживать число отправленных и полученных сообщений, а также отслеживать неудачные сеансы с использованием функции Mutual TLS. Дополнительные сведения о создании и настройке журналов счетчиков см. в файле справки в оснастке консоли управления Microsoft (MMC) Журналы и оповещения производительности.
Журналы протоколов
Можно просмотреть журналы протоколов отправки и получения, чтобы определить, успешно ли выполнено TLS-согласование.
Чтобы просмотреть дополнительные сведения журналов протокола, необходимо установить уровень ведения журнала протокола Verbose
для соединителей, используемых для отправки и получения в организации электронной почты, защищенной на уровне домена. Для этого администратор компании Contoso выполняет следующую команду на обоих пограничных транспортных серверах.
Set-ReceiveConnector Internet -ProtocolLoggingLevel Verbose
Чтобы включить ведение журнала протокола на соединителе отправки, администратор Contoso на внутреннем сервере Exchange или управляющей рабочей станции выполняет следующие действия. Затем изменение конфигурации реплицируется на пограничные транспортные серверы с помощью службы Microsoft Exchange EdgeSync.
Set-SendConnector Internet -ProtocolLoggingLevel Verbose
Дополнительные сведения о синтаксисе и параметрах см. в разделах Set-ReceiveConnector и Set-SendConnector.
Дополнительные сведения о том, как просматривать журналы протоколов, см. в разделе Настройка ведения журнала протокола.
В начало
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.