Tải bản đầy đủ (.pdf) (13 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Quản lý các chứng chỉ trong Exchange - Phần 1

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (753.52 KB, 13 trang )

Quản lý các chứng chỉ trong Exchange - Phần 1


Các chứng chỉ có thể được sử dụng để mã hóa luồng dữ liệu
truyền thông giữa hai điểm kết cuối (cả các máy chủ và các máy
khách). Bên cạnh đó các chứng chỉ cũng được sử dụng bởi các
điểm kết cuối này để tự thẩm định bản thân chúng đối với các
thành phần khác.
Exchange 2007 sử dụng các chứng chỉ X.509 để thẩm định và
mã hóa. Các chứng chỉ này tuân theo một định dạng chuẩn khi
được công bố bởi ITU-T (Telecommunication Standardization
Sector).
Có một vài thành phần trong Exchange 2007 dựa vào các chứng chỉ để phục vụ cho mục đích mã
hóa và thẩm định hoặc cả hai. Trong phần một của loạt bài này, chúng tôi sẽ cung cấp cho các
bạn một cách nhìn tổng quan về các thành phần khác nhau của Exchange có sử dụng các chứng
chỉ. Sau đó chúng tôi sẽ giới thiệu sâu hơn về các tính năng của mỗi một chứng chỉ self-signed
được tạo một cách mặc định.
Việc Sử dụng chứng chỉ bởi các thành phần Exchange Server 2007
Như giới thiệu ở trên, một số thành phần của Exchange Server 2007 có sử dụng các chứng chỉ
X.509 cho việc mã hóa và thẩm định hoặc cả hai. Bạn sẽ thấy rằng khi cài đặt Exchange 2007
Hub Transport server role, Client Access server role, Unified Messaging server role và Edge
Transport server role, Exchange sẽ tạo một chứng chỉ self-signed mặc định để bảo đảm rằng các
thành phần duy nhất của nó có thể sử dụng chứng chỉ đó để thực hiện chức năng như yêu cầu.
Hình 1 bên dưới thể hiện cho các bạn thấy chứng chỉ self-signed được tạo bởi Exchange như thế
nào trong suốt quá trình cài đặt các role Exchange 2007 Client Access, Hub và Unified
Messaging. Chứng chỉ này sẽ được sử dụng bởi các dịch vụ: IIS, SMTP, POP, IMAP và UM.

Hình 1: Chứng chỉ self-signed được tạo mặc định khi cài đặt role Exchange 2007 HUB, CAS,
UM server
Các chứng chỉ và role Hub/Edge Transport
Bảo mật lớp truyền tải giữa các site Active Directory


Role Exchange 2007 Hub Transport server sử dụng một chứng chỉ để mã hóa tất cả lưu lượng
giữa các site Active Directory. Bạn không thể cấu hình Exchange để cho phép lưu lượng SMTP
không bị mã hóa giữa các máy chủ Hub Transport nằm trong các site khác nhau.
Để xem chứng chỉ nào được sử dụng giữa các máy chủ Hub Transport nằm trong các site Active
Directory khác nhau, hãy sử dụng giao thức SMTP đăng nhập vào Send connector bên trong tổ
chức trên mỗi máy chủ Hub Transport, xem trong hình 2 bên dưới, bằng cách sử dụng lệnh Set-
TransportServer của Exchange Management Shell.

Hình 2: Thiết lập IntraOrgConnectorProtocolLogging thành verbose
Bằng cách thiết lập IntraOrgConnectorProtocolLoggingLevel thành verbose, giao thức đăng
nhập sẽ được bổ sung vào bản ghi giao thức của Send connector. Sau khi gửi một mail từ
Mailbox trong site B đến một Mailbox được đặt trên máy chủ Mailbox Exchange 2007 trong site
A, quan sát bản ghi giao thức Send bạn sẽ thấy được rằng Exchange Hub Transport server trong
Site B (Ex2007SE) sử dụng chứng chỉ được cung cấp bởi Exchange Hub Transport server trong
site Active Directory đích (Ex2007EE) để khởi động Transport Layer Security, xem cụ thể trong
hình 3.

Hình 3: Gửi bản ghi giao thức giữa các site Active Directory
Bạn có thể quan sát ngay được chứng chỉ trên máy chủ Hub Transport đang ở trạng thái có sẵn
cho TLS, điều đó thể hiện rằng nó là một chứng chỉ self-signed đã được sử dụng (hình 4).

Hình 4: Chứng chỉ Self Signed
EdgeSync
Once EdgeSync được cấu hình giữa các máy chủ Hub Transport bên trong và Edge Transport, cả
hai máy chủ đều sẽ sử dụng một chứng chỉ để mã hóa vấn đề truyền thông của chúng. Thêm vào
đó, cả hai đều sẽ được sử dụng để cung cấp chỉ thị cho sự tin cậy. Sự tin cậy này là một phương
pháp thẩm định nơi chứng chỉ có thể được sử dụng để thẩm định khi chứng chỉ
đã cấp hiện diện
trong Active Directory (với Hub Transport server role) hoặc ADAM/LDS (cho Edge Transport
server role). Khi thiết lập EdgeSync, các chứng chỉ được yêu cầu sẽ được công bố trong đúng

location.
Bảo mật lớp truyền tải
Bất cứ khi nào một máy chủ mở mọt kết nối với Exchange 2007 Hub/Edge Transport server role,
Exchange sẽ cho phép một TLS bằng cách cung cấp chứng chỉ của nó.
Bảo mật miền
Các chứng chỉ cũng có thể được sử
dụng bởi Hub/Edge Transport để cấu hình Domain Security
với các tổ chức đối tác, cả mã hóa và thẩm định.
Role Client Access Server và các chứng chỉ
Client Access
Các chứng chỉ được sử dụng bởi Client Access server role để cho phép luồng dữ liệu truyền
thông được mã hóa giữa Client Access server và các máy khách của nó. Mặc định SSL được yêu
cầu cho:

Outlook Web Access

Outlook Anywhere

Exchange ActiveSync

POP3

IMAP4

Exchange Web Services như Autodiscover, EWS và Unified Messaging

Hình 5: Yêu cầu SSL
Với thư mục ảo, sự sử dụng chứng chỉ không được yêu cầu mặc định, là thành phần làm cho
Offline Address Book có sẵn download bởi các máy khách Microsoft Office Outlook 2007 và
mới hơn.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×