Quản lý các chứng chỉ trong Exchange
lượt xem 6
download
Tham khảo tài liệu 'quản lý các chứng chỉ trong exchange', công nghệ thông tin, quản trị mạng phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Quản lý các chứng chỉ trong Exchange
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Quản lý các chứng chỉ trong Exchange - Phần 1 Các chứng chỉ có thể được sử dụng để mã hóa luồng dữ liệu truyền thông giữa hai điểm kết cuối (cả các máy chủ và các máy khách). Bên cạnh đó các chứng chỉ cũng được sử dụng bởi các điểm kết cuối này để tự thẩm định bản thân chúng đối với các thành phần khác. Exchange 2007 sử dụng các chứng chỉ X.509 để thẩm định và mã hóa. Các chứng chỉ này tuân theo một định dạng chuẩn khi được công bố bởi ITU-T (Telecommunication Standardization Sector). Có một vài thành phần trong Exchange 2007 dựa vào các chứng chỉ để phục vụ cho mục đích mã hóa và thẩm định hoặc cả hai. Trong phần một của loạt bài này, chúng tôi sẽ cung cấp cho các bạn một cách nhìn tổng quan về các thành phần khác nhau của Exchange có sử dụng các chứng chỉ. Sau đó chúng tôi sẽ giới thiệu sâu hơn về các tính năng của mỗi một chứng chỉ self-signed được tạo một cách mặc định. Việc Sử dụng chứng chỉ bởi các thành phần Exchange Server 2007 Như giới thiệu ở trên, một số thành phần của Exchange Server 2007 có sử dụng các chứng chỉ X.509 cho việc mã hóa và thẩm định hoặc cả hai. Bạn sẽ thấy rằng khi cài đặt Exchange 2007 Hub Transport server role, Client Access server role, Unified Messaging server role và Edge Transport server role, Exchange sẽ tạo một chứng chỉ self-signed mặc định để bảo đảm rằng các thành phần duy nhất của nó có thể sử dụng chứng chỉ đó để thực hiện chức năng như yêu cầu. Hình 1 bên dưới thể hiện cho các bạn thấy chứng chỉ self-signed được tạo bởi Exchange như thế nào trong suốt quá trình cài đặt các role Exchange 2007 Client Access, Hub và Unified Messaging. Chứng chỉ này sẽ được sử dụng bởi các dịch vụ: IIS, SMTP, POP, IMAP và UM.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 1: Chứng chỉ self-signed được tạo mặc định khi cài đặt role Exchange 2007 HUB, CAS, UM server Các chứng chỉ và role Hub/Edge Transport Bảo mật lớp truyền tải giữa các site Active Directory Role Exchange 2007 Hub Transport server sử dụng một chứng chỉ để mã hóa tất cả lưu lượng giữa các site Active Directory. Bạn không thể cấu hình Exchange để cho phép lưu lượng SMTP không bị mã hóa giữa các máy chủ Hub Transport nằm trong các site khác nhau. Để xem chứng chỉ nào được sử dụng giữa các máy chủ Hub Transport nằm trong các site Active Directory khác nhau, hãy sử dụng giao thức SMTP đăng nhập vào Send connector bên trong tổ chức trên mỗi máy chủ Hub Transport, xem trong hình 2 bên dưới, bằng cách sử dụng lệnh Set- TransportServer của Exchange Management Shell. Hình 2: Thiết lập IntraOrgConnectorProtocolLogging thành verbose Bằng cách thiết lập IntraOrgConnectorProtocolLoggingLevel thành verbose, giao thức đăng nhập sẽ được bổ sung vào bản ghi giao thức của Send connector. Sau khi gửi một mail từ Mailbox trong site B đến một Mailbox được đặt trên máy chủ Mailbox Exchange 2007 trong site A, quan sát bản ghi giao thức Send bạn sẽ thấy được rằng Exchange Hub Transport server trong Site B (Ex2007SE) sử dụng chứng chỉ được cung cấp bởi Exchange Hub Transport server trong
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com site Active Directory đích (Ex2007EE) để khởi động Transport Layer Security, xem cụ thể trong hình 3. Hình 3: Gửi bản ghi giao thức giữa các site Active Directory Bạn có thể quan sát ngay được chứng chỉ trên máy chủ Hub Transport đang ở trạng thái có sẵn cho TLS, điều đó thể hiện rằng nó là một chứng chỉ self-signed đã được sử dụng (hình 4). Hình 4: Chứng chỉ Self Signed EdgeSync
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Once EdgeSync được cấu hình giữa các máy chủ Hub Transport bên trong và Edge Transport, cả hai máy chủ đều sẽ sử dụng một chứng chỉ để mã hóa vấn đề truyền thông của chúng. Thêm vào đó, cả hai đều sẽ được sử dụng để cung cấp chỉ thị cho sự tin cậy. Sự tin cậy này là một phương pháp thẩm định nơi chứng chỉ có thể được sử dụng để thẩm định khi chứng chỉ đã cấp hiện diện trong Active Directory (với Hub Transport server role) hoặc ADAM/LDS (cho Edge Transport server role). Khi thiết lập EdgeSync, các chứng chỉ được yêu cầu sẽ được công bố trong đúng location. Bảo mật lớp truyền tải Bất cứ khi nào một máy chủ mở mọt kết nối với Exchange 2007 Hub/Edge Transport server role, Exchange sẽ cho phép một TLS bằng cách cung cấp chứng chỉ của nó. Bảo mật miền Các chứng chỉ cũng có thể được sử dụng bởi Hub/Edge Transport để cấu hình Domain Security với các tổ chức đối tác, cả mã hóa và thẩm định. Role Client Access Server và các chứng chỉ Client Access Các chứng chỉ được sử dụng bởi Client Access server role để cho phép luồng dữ liệu truyền thông được mã hóa giữa Client Access server và các máy khách của nó. Mặc định SSL được yêu cầu cho: Outlook Web Access • Outlook Anywhere • Exchange ActiveSync • POP3 • IMAP4 • Exchange Web Services như Autodiscover, EWS và Unified Messaging •
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 5: Yêu cầu SSL Với thư mục ảo, sự sử dụng chứng chỉ không được yêu cầu mặc định, là thành phần làm cho Offline Address Book có sẵn download bởi các máy khách Microsoft Office Outlook 2007 và mới hơn.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 6: OAB Virtual Directory không yêu cầu SSL Thẩm định dựa trên chứng chỉ Bạn có thể cấu hình việc thẩm định dựa trên chứng chỉ, bằng cách cấu hình đó để cho phép các máy khách tự thẩm định chúng đối với máy chủ Client Access bằng cách sử dụng chứng chỉ cá nhân của chúng. Unified Messaging Server Role và các chứng chỉ Các chứng chỉ được sử dụng bởi Unified Messaging Server role để mã hóa việc truyền thông khi gửi một thông báo Voice Mail được ghi lại đến Exchange Hub Transport Server role. Các chứng chỉ cũng được sử dụng để mã há lưu lượng SIP hoặc RTP cho UM IP Gateway, và phải được sử dụng khi bạn quyết định triển khai Office Communications Server trong môi trường củau bạn, vì Office Communications Server chỉ truyền thông với các role máy chủ khác thông qua sự mã hóa. Khi bạn triển khai Exchange 2007 Server role, ngoại trừ Mailbox Server role, Exchange sẽ tạo một chứng chỉ self-signed và cho phép Exchange sử dụng chứng chỉ này khi yêu cầu cho các dịch vụ IIS, SMTP, POP3, IMAP4 và UM.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Các đặc điểm của chứng chỉ Self-Signed Chúng ta hãy đi xem xét các tính năng của chứng chỉ Self-Signed được tạo mặc định này. Các chứng chỉ Self-Signed chỉ hợp lệ khoảng một năm, xem trong hình 7, và cần phải remew sau một năm. Hình 7: Chứng chỉ Self-Signed chỉ hợp lệ cho một năm Để renew chứng chỉ Self-Signed, bạn có thể sử dụng lệnh New-ExchangeCertificate. Nếu có được chứng chỉ này đang tồn tại bằng cách chạy Get-ExchangeCertificate, bạn có thể trích dẫn đối tượng cho lệnh New-ExchangeCertificate, khi đó sẽ tạo được một chứng chỉ Self-Signed mới với các thiết lập tương tự và kích hoạt nó cho các dịch vụ tương tự một cách mặc định. Trong hình 8, bạn có thể thấy chứng chỉ Self-Signed đang tồn tại được renew.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 8: Làm mới lại một chứng chỉ Self-Signed đang tồn tại Exchange 2007 Client Access server chỉ cho phép một chứng chỉ được kích hoạt để sử dụng với IIS, tuy nhiên bạn có thể vẫn có nhiều chứng chỉ được kích hoạt cho POP, IMAP, UM và SMTP. Khi có nhiều chứng chỉ hiện hữu, Exchange sẽ chọn ra một chứng chỉ dựa vào tiêu chuẩn khác nhau. Chúng tôi sẽ đề cập đến quá trình chọn này trong phần hai của loạt bài. Chứng chỉ Self-Signed được tạo khi triển khai Exchange 2007 sẽ có tập tên chung cho Host name của Exchange server và có hai thiết lập tên Subject Alternative Names đối với tên Host và Fully Qualified Domain Name của nó.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 9: Chứng chỉ Self-Signed và Subject lẫn CertificateDomains của nó Mặc dù vậy hoàn toàn có thể tạo một chứng chỉ Self-Signed với Subject và Subject Alternative Names để bảo đảm rằng nó có thể được sử dụng trong tổ chức Exchange. Sử dụng lệnh New-ExchangeCertificate, bạn có thể tạo một ví dụ về một chứng chỉ với Common Name là webmail.proexchange.global, sau đó chỉ định Subject Alternative Names như Exchange cho Host và Fully Qualified Domain Name, xem hình 10. Không quên bổ sung thêm tham số boolean PrivateKeyExportable và thiết lập True, nếu muốn bạn có thể export chứng chỉ này nhằm cho phép người dùng của bạn tin tưởng nó (các chi tiết sẽ được giới thiệu trong phần 2).
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 10: Tạo chứng chỉ Self-Signed với Subject Alternative Names tùy chỉnh Trong phần hai của loạt bài này, chúng tôi sẽ quay trở lại với các tên yêu cầu của chứng chỉ. Trong phần ba sẽ giải thích chi tiết hơn về các lệnh được sử dụng. Bạn cần lưu ý để biết rằng chứng chỉ Self-Signed chỉ được tin cậy bởi người phát hành ra nó , điều đó có thể làm cho Exchange không hoạt động nếu không được cấu hình đúng cách. Chúng ta hãy xem đến những gì bạn cần quan tâm nếu quyết định sử dụng chứng chỉ Self-Signed: Outlook Anywhere và Exchange ActiveSync không hỗ trợ sử dụng chứng chỉ self-signed. • Dịch vụ web Autodiscover sẽ không kiểm tra nếu người phát hành chứng chỉ được tin • cậy khi khởi chạy Microsoft Office Outlook 2007 từ máy khách nằm trong miền, tuy nhiên sẽ phàn nàn về chứng chỉ nếu bạn đang sử dụng Microsoft Office Outlook 2007 từ máy khách không nằm trong miền, xem thể hiện trong hình 11.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 11: Chứng chỉ Self-Signed không tin cậy Khi các máy khách Microsoft Office Outlook 2007 (trong miền hoặc không thuộc miền) • sử dụng Exchange Web Services được cung cấp bởi Microsoft Exchange Client Access server, chúng sẽ được nhắc nhở bởi Outlook rằng chứng chỉ được phát hành bởi một công ty không tin cậy. Hình 2 thể hiện cảnh báo bảo mật khi ai đó yêu cầu các thông tin Free và Busy.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 12: Chứng chỉ Self-Signed không tin cậy Microsoft hỗ trợ sử dụng các chứng chỉ Self-Signed, nhưng chri cho các kịch bản bên • trong như: Để mã hóa các phiên SMTP giữa các máy chủ Hub Transport và các site khác; o Để mã hóa các phiên SMTP giữa các máy chủ Hub Transport và các máy chủ o Edge Transport; Để mã hóa sự đồng bộ của cấu hình và các thông tin người nhận bằng cách cấu o hình EdgeSync giữa các máy chủ Hub Transport bên trong và các máy chủ Edge Transport. Để mã hóa các phiên SMTP giữa các máy chủ Unified Messaging và Hub o Transport; Để mã hóa các phiên SIP và RTP giữa các máy chủ Unified Messaging và Office o Communications (yêu cầu bạn phải bảo đảm rằng Office Communication Mediation server tin cậy máy chủ Exchange của bạn như máy chủ phát hành cứng chỉ Self-Signed đó); Để mã hóa truy cập máy khách bên trong vào Exchange (POP,IMAP,Outlook o Web Access).
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Nếu không muốn Exchange tạo chứng chỉ self-signed trong suốt quá trình cài đặt, bạn có • thể chỉ định tham số /NoSelfSignedCertificates bên cạnh Setup trong nhắc lệnh. Lưu ý: tham số này chỉ có thể được sử dụng khi cài đặt Client Access server role hoặc Unified Messaging server role. Nếu máy chủ của bạn không có một chứng chỉ hơp lệ hiện hữu để mã hóa việc truyền thông giữa các máy khách và Client Access server hoặc Unified Messaging server, thì sự truyền thông sẽ không được mã hóa và do đó không an toàn. Kết luận Trong phần một này, cúng tôi đã giới thiệu cho các bạn các thành phần của Exchange 2007 có sử dụng đến các chứng chỉ và các đặc điểm của chứng chỉ “self-signed”. Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn những yếu tố giúp các bạn có thể tin tưởng và chứng chỉ này và các yêu cầu của một chứng chỉ mà bạn cần lưu ý khi sử dụng chúng. Phần cuối cùng của loạt bài sẽ cung cấp cho các bạn những quan sát sâu hơn về các lệnh của Exchange Management Shell dùng để tạo, quản lý và remove các chứng chỉ Exchange.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Quản lý các chứng chỉ trong Exchange – Phần 2 Trong phần này chúng tôi sẽ giới thiệu các yêu cầu cần phải lưu ý khi làm việc với các chứng chỉ. Giới thiệu Các chứng chỉ có thể được sử dụng để mã hóa luồng dữ liệu truyền thông giữa hai điểm đầu cuối, có thể là các máy khách và máy chủ. Chúng cũng được sử dụng bởi các điểm kết cuối để tự thẩm định với nhau. Có một số thành phần trong Exchange 2007 dựa vào các chứng chỉ để mã hóa và thẩm định. Trong phần đầu tiên của loạt bài này, chúng tôi đã giới thiệu cho các bạn về tổng quan của các thành phần Exchange có sử dụng các chứng chỉ và mục đích sử dụng của chúng. Bên cạnh đó, phần một cũng giới thiệu một số tính năng của chứng chỉ tự ký được tạo mặc định. Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu các yêu cầu của một chứng chỉ mà bạn cần biết khi làm việc với chúng. Để kết thúc, trong phần ba của loạt bài, chúng tôi sẽ cung cấp cho các bạn một xem xét cận hơn về các lệnh Exchange Management Shell dùng để tạo, quản lý và xóa các chứng chỉ Exchange. Tin cậy chứng chỉ tự ký như thế nào? Như đã giới thiệu trong phần một của loạt bài này, bạn hoàn toàn có thể cấu hình Exchange để sử dụng chứng chỉ tự ký cho các kịch bản bên trong. Để bảo đảm rằng các máy khách của bạn không gặp phải bất cứ thông báo cảnh báo bảo mật nào khi kết nối với máy chủ Exchange 2007 Client Access, nhưng bạn cần phải làm cho người dùng tin tưởng vào chứng chỉ tự ký. Nhớ rằng, không phải là một ý tưởng tuyệt đối hoàn hảo khi giáo dục người dùng loại bỏ các cảnh báo về bảo mật! Hình 1 thể hiện rằng chứng chỉ tự ký (Self-Signed) không được tin cậy khi sử dụng Outlook Web Access.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 1: Chứng chỉ tự ký không tin cậy Có một vài phương pháp để bảo đảm rằng người dùng nhận ra chứng chỉ tự ký là một chứng chỉ tin cậy. Tuy nhiên chúng tôi sẽ chỉ giới thiệu một phương pháp trong đó, đây chính là phương pháp không yêu cầu bất cứ hành động nào từ phía bản thân người dùng và phương pháp này publish chứng chỉ tự ký bằng Group Policies. Mặc dù vậy bạn cần lưu ý rằng vẫn cần phải lặp lại hành động này mỗi lần làm mới lại chứng chỉ tự ký! Export chứng chỉ tự ký Để export một chứng chỉ tự ký, bạn có thể sử dụng lệnh Export-ExchangeCertificate. Do lệnh này sẽ nhóm cả khóa riêng một cách tự động nên bạn cần phải định nghĩa mật khẩu, có thể xem ví dụ mà chúng tôi đã thực hiện trong hình 2. Hãy lưu ý rằng bạn chỉ có thể export chứng chỉ tự ký nếu đã đánh dấu chứng chỉ để có được khóa riêng có khả năng export (xem giới thiệu trong phần 1).
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 2: Export chứng chỉ Publish chứng chỉ như một chứng chỉ tin cậy thông qua Group Policy Bạn hoàn toàn có thể publish một chứng chỉ đã được export trong kho lưu trữ cá nhân của người dùng bằng cách sử dụng Group Policy. Trong ví dụ dưới, chúng tôi đã sử dụng giao diện Group Policy Management để tạo một chính sách mới và áp dụng nó cho miền (hình 3).
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 3: Tạo và liên kết một GPO mới với miền Chúng ta gọi GPO mới là Trust Self Signed Certificate mới và không sử dụng bất cứ Source Starter GPO nào (hình 4). Hình 4: Tên của GPO mới Do muốn import một chứng chỉ tự ký đã được export, chúng ta hãy vào User Configuration, Policies, Windows Settings, Public Key Policies, và kích chuột phải vào Trusted People để khởi chạy Certificate Import Wizard (xem hình 5).
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 5: Khởi chạy Certificate Import Wizard Chỉ định file đã được tạo từ trước bằng cách chạy Export-ExchangeCertificate, và kích Next (hình 6).
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 6: Chọn File để Import Tiếp đến, nhập vào mật khẩu đã được sử dụng để export khóa riêng, sau đố kích Next để tiếp tục (hình 7).
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 7: Đánh mật khẩu được sử dụng để bảo vệ khóa riêng Nơi lưu trữ chứng chỉ sẽ được thiết lập là Personal Store, kích Next để tiếp tục (hình 8).
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Danh sách địa chỉ trong Exchange 2007
11 p | 147 | 27
-
Quản lý các chứng chỉ trong Exchange – Phần 2
16 p | 122 | 21
-
Quản lý các chứng chỉ trong Exchange - Phần 1
13 p | 126 | 19
-
Cấu hình Exchange 2007 hoặc 2010 chuyển tiếp email cho domain phụ
10 p | 83 | 13
-
Kiểm tra Exchange 2007 bằng System Center Operations Manager 2007 – Phần 3
16 p | 106 | 11
-
15 công cụ nguồn mở hay để "quản" Windows
7 p | 62 | 7
-
Kiểm tra Exchange 2007 bằng System Center Operations Manager 2007 – Part 3
17 p | 62 | 6
-
Quản lý Outlook 2007 thông qua Group Policies
17 p | 65 | 6
-
Thay thế máy chủ Exchange 2003 Frontend OWA
7 p | 80 | 3
-
Kiểm tra Exchange 2007 bằng System Center Operations Manager 2007 – Part 2
12 p | 61 | 3
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn