Quản lý các chứng chỉ trong Exchange – Phần 2
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (591.05 KB, 16 trang )
Quản lý các chứng chỉ trong Exchange – Phần 2
Trong phần
này chúng
tôi sẽ giới
thiệu các
yêu cầu cần
phải lưu ý
khi làm việc
với các
chứng chỉ.
Giới thiệu
Các chứng
chỉ có thể
được sử
dụng để
mã hóa luồng dữ liệu truyền thông giữa hai điểm đầu cuối, có thể là các máy khách và
máy chủ. Chúng cũng được sử dụng bởi các điểm kết cuối để tự thẩm định với nhau.
Có một số thành phần trong Exchange 2007 dựa vào các chứng chỉ để mã hóa và thẩm
định. Trong phần đầu tiên của loạt bài này, chúng tôi đã giới thiệu cho các bạn về tổng
quan của các thành phần Exchange có sử dụng các chứng chỉ và mục đích sử dụng
của chúng. Bên cạnh đó, phần một cũng giới thiệu một số tính năng của chứng chỉ tự
ký được tạo mặc định. Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu các yêu
cầu của một chứng chỉ mà bạn cần biết khi làm việc với chúng. Để kết thúc, trong phần
ba của loạt bài, chúng tôi sẽ cung cấp cho các bạn một xem xét cận hơn về các lệnh
Exchange Management Shell dùng để tạo, quản lý và xóa các chứng chỉ Exchange.
Tin cậy chứng chỉ tự ký như thế nào?
Như đã giới thiệu trong phầ
n một của loạt bài này, bạn hoàn toàn có thể cấu hình
Exchange để sử dụng chứng chỉ tự ký cho các kịch bản bên trong. Để bảo đảm rằng
các máy khách của bạn không gặp phải bất cứ thông báo cảnh báo bảo mật nào khi kết
nối với máy chủ Exchange 2007 Client Access, nhưng bạn cần phải làm cho người
dùng tin tưởng vào chứng chỉ tự ký. Nhớ rằng, không phải là một ý tưởng tuyệt đối
hoàn hảo khi giáo dục người dùng loại bỏ các cảnh báo về bảo mật! Hình 1 thể hiện
rằng chứng chỉ tự ký (Self-Signed) không được tin cậy khi sử dụng Outlook Web
Access.
Hình 1: Chứng chỉ tự ký không tin cậy
Có một vài phương pháp để bảo đảm rằng người dùng nhận ra chứng chỉ tự ký là một
chứng chỉ tin cậy. Tuy nhiên chúng tôi sẽ chỉ giới thiệu một phương pháp trong đó, đây
chính là phương pháp không yêu cầu bất cứ hành động nào từ phía bản thân người
dùng và phương pháp này publish chứng chỉ tự ký bằng Group Policies. Mặc dù vậy
bạn cần lưu ý rằng vẫn c
ần phải lặp lại hành động này mỗi lần làm mới lại chứng chỉ tự
ký!
Export chứng chỉ tự ký
Để export một chứng chỉ tự ký, bạn có thể sử dụng lệnh Export-ExchangeCertificate.
Do lệnh này sẽ nhóm cả khóa riêng một cách tự động nên bạn cần phải định nghĩa mật
khẩu, có thể xem ví dụ mà chúng tôi đã thực hiện trong hình 2. Hãy lưu ý rằng bạn chỉ
có th
ể export chứng chỉ tự ký nếu đã đánh dấu chứng chỉ để có được khóa riêng có khả
năng export (xem giới thiệu trong phần 1).
Hình 2: Export chứng chỉ
Publish chứng chỉ như một chứng chỉ tin cậy thông qua Group Policy
Bạn hoàn toàn có thể publish một chứng chỉ đã được export trong kho lưu trữ cá nhân
của người dùng bằng cách sử dụng Group Policy. Trong ví dụ dưới, chúng tôi đã sử
dụng giao diện Group Policy Management để tạo một chính sách mới và áp dụng nó
cho miền (hình 3).
Hình 3: Tạo và liên kết một GPO mới với miền
Chúng ta gọi GPO mới là Trust Self Signed Certificate mới và không sử dụng bất cứ
Source Starter GPO nào (hình 4).
Hình 4: Tên của GPO mới
Do muốn import một chứng chỉ tự ký đã được export, chúng ta hãy vào User
Configuration, Policies, Windows Settings, Public Key Policies, và kích chuột phải vào
Trusted People để khởi chạy Certificate Import Wizard (xem hình 5).
Hình 5: Khởi chạy Certificate Import Wizard
Chỉ định file đã được tạo từ trước bằng cách chạy Export-ExchangeCertificate, và kích
Next (hình 6).
Hình 6: Chọn File để Import
Tiếp đến, nhập vào mật khẩu đã được sử dụng để export khóa riêng, sau đố kích Next
để tiếp tục (hình 7).
