Bezpieczeństwo urządzeń przenośnych i serwer Exchange 2007
Zawartość strony
Wstęp
Program Microsoft Exchange Server 2007 wykorzystuje protokół Secure Sockets Layer (SSL) w celu zwiększenia bezpieczeństwa w relacji klienty – serwer Exchange. Domyślnie programy Exchange ActiveSync, Office Outlook Web Access oraz Outlook Anywhere wykorzystują protokół SSL. Jeżeli włączone zostały protokoły POP3 oraz IMAP4, możliwe jest także skonfigurowanie dla nich protokołu SSL.
Aby móc używać protokołu SSL z Exchange ActiveSync, konieczne jest posiadanie certyfikatu protokołu SSL zarówno na serwerze dostępu klienta, jak i używanym urządzeniu przenośnym. Instalowanie certyfikatu protokołu SSL na komputerze z Exchange 2007 obsługującym rolę serwera dostępu klienta jest dość proste. Jednakże instalowanie certyfikatu protokołu SSL na urządzeniu przenośnym jest bardziej skomplikowane, ponieważ nie wszystkie urządzenia obsługują wszystkie typy certyfikatów. Oprócz zastosowania protokołu SSL do szyfrowania komunikacji pomiędzy urządzeniem przenośnym a serwerem dostępu klienta możliwe jest zastosowanie certyfikatu cyfrowego do uwierzytelniania na jego podstawie za pomocą Exchange ActiveSync.
Niniejszy artykuł opisuje kroki wymagane w celu zastosowania certyfikatu protokołu SSL do zwiększenia bezpieczeństwa komunikacji programu Exchange ActiveSync pomiędzy urządzeniami przenośnymi a serwerem Exchange. Wyjaśnia ponadto różnicę pomiędzy szyfrowaniem wykorzystującym protokół SSL oraz szyfrowaniem za pomocą cyfrowych certyfikatów do uwierzytelniania.
Protokół SSL a uwierzytelnianie na podstawie certyfikatu
Certyfikat cyfrowy ma dwa różne zastosowania. Pierwsze to szyfrowanie kanału komunikacji pomiędzy klientem i serwerem. Drugie to uwierzytelnianie.
Gdy certyfikat cyfrowy używany jest do szyfrowania kanału komunikacji pomiędzy klientem i serwerem, klucz publiczny certyfikatu serwera jest używany do szyfrowania danych przed ich transmisją. Kiedy klient otrzymuje dane za pomocą prywatnego klucza klienta, są one deszyfrowane.
Uwierzytelnianie to proces, w którym klient oraz serwer sprawdzają swoje tożsamości używane podczas transmitowania danych. W programie Exchange 2007 uwierzytelnianie używane jest w celu określenia czy użytkownik lub klient, który chce się komunikować z serwerem Exchange, jest tym, za co lub za kogo się podaje. Za pomocą funkcji uwierzytelniania możliwe jest sprawdzenie, czy urządzenie należy do określonej osoby. Domyślnie program Exchange ActiveSync wykorzystuje uwierzytelnianie podstawowe. Można jednak zmienić metodę uwierzytelniania na uwierzytelnianie na podstawie certyfikatu, zmieniając opcję metody uwierzytelniania w katalogu wirtualnym programu Exchange ActiveSync. Więcej informacji na temat uwierzytelniania na podstawie certyfikatu znajduje się w artykule Choosing an Authentication Method for Your Exchange ActiveSync Server (j.ang.).
Instalowanie certyfikatu protokołu SSL na serwerze dostępu klienta
Domyślnie podczas instalowania roli serwera dostępu klienta na komputerze z programem Exchange 2007 tworzony jest wirtualny katalog dla programu Exchange ActiveSync w domyślnej witrynie sieci Web Internetowych usług informacyjnych (IIS) na serwerze Exchange.
Katalog wirtualny Microsoft-Server-ActiveSync jest automatycznie konfigurowany do używania protokołu SSL. Zalecamy, aby nie zmieniać tego ustawienia. Domyślnie certyfikat protokołu SSL z podpisem własnym jest instalowany na serwerze dostępu klienta. Jednakże program Exchange ActiveSync nie może używać tego certyfikatu z podpisem własnym do szyfrowania komunikacji pomiędzy urządzeniem przenośnym a serwerem Exchange. Zanim możliwe będzie używanie protokołu SSL w programie Exchange ActiveSync, konieczne jest zainstalowanie i skonfigurowanie certyfikatu opartego na infrastrukturze klucza publicznego (PKI) systemu Windows lub certyfikatu innej zaufanej firmy.
Jak skonfigurować używanie protokołu SSL w programie Exchange ActiveSync?
Jedynymi krokami, jakie należy wykonać na serwerze dostępu klienta w celu skonfigurowania używania protokołu SSL w programie Exchange ActiveSync są kroki zawiązane z instalacją certyfikatu SSL na serwerze. Mogą się one nieznacznie różnić w zależności od tego, czy stosowany jest certyfikat innej zaufanej firmy czy certyfikat PKI systemu Windows. Więcej informacji na temat konfigurowania certyfikatu PKI systemu Windows lub sposobów uzyskania certyfikatu od innej zaufanej firmy znajduje się w artykule Understanding SSL for Client Access Servers (j.ang.).
Jak skonfigurować używanie protokołu SSL przez klienty programu Exchange ActiveSync?
Oprócz uzyskania certyfikatu PKI systemu Windows lub certyfikatu zaufanej firmy należy także skonfigurować używanie protokołu SSL przez urządzenia klienckie programu Exchange ActiveSync. Program Exchange ActiveSync nie obsługuje używania certyfikatów z podpisem własnym w połączeniach z Exchange 2007. Urządzenie przenośne musi być w stanie sprawdzić poprawność certyfikatu cyfrowego za pomocą kompletnego łańcucha. Łańcuch certyfikatów składa się ze wszystkich certyfikatów potrzebnych do poświadczenia podmiotu określonego w końcowym certyfikacie. Obejmuje on certyfikat końcowy, certyfikaty pośredniego urzędu certyfikacji oraz certyfikat główny. Każdy pośredni urząd certyfikacji w łańcuchu zawiera certyfikat wydany przez urząd certyfikacji wyższy o jeden poziom. Certyfikat z podpisem własnym nie może zostać poświadczony za pomocą kompletnego łańcucha.
Zanim możliwe będzie używanie certyfikatu PKI systemu Windows z programem Exchange ActiveSync, potrzebne będzie urządzenie pozwalające na instalowanie certyfikatu cyfrowego w osobistym magazynie certyfikatów urządzenia. Urządzenia z systemem Windows Mobile 6.0 obsługują tę opcję, jednakże wiele innych urządzeń nie ma takiej możliwości. Aby określić, czy dane urządzenie przenośne obsługuje instalację certyfikatów, należy zapoznać się z dokumentacją techniczną tego urządzenia.
Zalecamy używanie certyfikatów dla programu Exchange ActiveSync pochodzących od zaufanych firm. Urządzenia z systemem Windows Mobile zawierają kilka najczęściej używanych certyfikatów zaufanych firm, które zostały wstępnie zainstalowane w głównym magazynie certyfikatów urządzenia. Jeżeli certyfikat zaufanej firmy nie został wstępnie zainstalowany w urządzeniu przenośnym, należy określić, czy dane urządzenie obsługuje opcję instalacji certyfikatów.
Jeżeli konieczne jest zainstalowanie kopii certyfikatu protokołu SSL na urządzeniu z systemem Windows Mobile, wykonać następującą procedurę.
Aby zapisać certyfikat w pliku:
1. | Na serwerze dostępu klienta, w Menedżerze usług IIS kliknij prawym klawiszem myszy opcję Domyślna witryna sieci Web lub katalog wirtualny Microsoft-Server-ActiveSync, a następnie opcję Właściwości. |
2. | Kliknij kartę Zabezpieczenia katalogów. |
3. | W opcji Bezpieczna komunikacja wybierz polecenie Wyświetl certyfikat. |
4. | W oknie dialogowym Certyfikat kliknij kartę Szczegóły. |
5. | Następnie wybierz polecenie Kopiuj do pliku. |
6. | W kreatorze eksportu certyfikatów kliknij przycisk Dalej. |
7. | Wybierz opcję Nie eksportuj klucza prywatnego, a następnie przycisk Dalej. |
8. | Wybierz Certyfikat X.509 szyfrowany binarnie algorytmem DER (.CER), a następnie kliknij Dalej. |
9. | Wprowadź nazwę pliku, kliknij przycisk Dalej, a następnie wybierz polecenie Zakończ. |
Po zapisaniu certyfikatu do pliku możliwe jest jego zainstalowanie na urządzeniu. Procedura instalacji certyfikatu na urządzeniu zależy od zainstalowanego na nim systemu operacyjnego. Wybierz procedurę odpowiadającą systemowi operacyjnemu urządzenia.
Wykorzystanie Centrum obsługi urządzeń z systemem Windows Mobile do zainstalowania certyfikatu na urządzeniu z systemem Windows Mobile 5.0 lub Windows Mobile 6.0:
1. | W Centrum obsługi urządzeń z systemem Windows Mobile kliknij opcję Zarządzanie plikami, a następnie polecenie Przeglądanie zawartości urządzenia. |
2. | Przeciągnij plik .cer, który został utworzony w poprzedniej procedurze do folderu na urządzeniu. |
3. | Na urządzeniu kliknij przycisk Start, a następnie wybierz opcję Eksplorator plików. |
4. | Znajdź folder wybrany w kroku 2. |
5. | Otwórz plik .cer i po wyświetleniu się pomiotu kliknij przycisk Tak. |
Wiele urządzeń z Windows Mobile 5.0 wykorzystuje zasady bezpieczeństwa, które uniemożliwiają instalowanie plików certyfikatów bezpośrednio z pliku .cer. Jeżeli poprzednia procedura nie została ukończona, należy wykonać poniższe kroki.
Użyj narzędzia SmartPhoneAddCert w celu zainstalowania certyfikatu na urządzeniu z systemem Windows 5.0.
1. | Pobierz narzędzie SmartPhoneAddcert.exe (j.ang.).
| ||
2. | Uruchom narzędzie SmartPhoneAddCert.exe i wyodrębnij zawartość do folderu na komputerze. | ||
3. | Skopiuj SmartPhoneAddCert.exe do urządzenia za pomocą programu ActiveSync komputera stacjonarnego lub Centrum obsługi urządzeń z systemem Windows Mobile (j.ang.). | ||
4. | Na urządzeniu utwórz folder o nazwie Magazyn. | ||
5. | Skopiuj plik .cer do folderu Magazyn na urządzeniu. | ||
6. | Uruchom narzędzie SmartPhoneAddCert.exe. Wybierz plik .cer skopiowany do folderu Magazyn w celu zainstalowania certyfikatu. |
| Uwaga: |
Jeżeli utworzony został plik .cab zawierający plik .cer, można także skopiować ten plik .cab do urządzenia i uruchomić plik .cab w celu zainstalowania certyfikatu. |