Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 16 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
16
Dung lượng
591,05 KB
Nội dung
Quản lýcácchứng chỉ trongExchange–Phần2Trongphần này chúng tôi sẽ giới thiệu các yêu cầu cần phải lưu ý khi làm việc với cácchứng chỉ. Giới thiệu Cácchứngchỉ có thể được sử dụng để mã hóa luồng dữ liệu truyền thông giữa hai điểm đầu cuối, có thể là các máy khách và máy chủ. Chúng cũng được sử dụng bởi các điểm kết cuối để tự thẩm định với nhau. Có một số thành phầntrongExchange 2007 dựa vào cácchứngchỉ để mã hóa và thẩm định. Trongphần đầu tiên của loạt bài này, chúng tôi đã giới thiệu cho các bạn về tổng quan của các thành phầnExchange có sử dụng cácchứngchỉ và mục đích sử dụng của chúng. Bên cạnh đó, phần một cũng giới thiệu một số tính năng của chứngchỉ tự ký được tạo mặc định. Trongphần hai của loạt bài này, chúng tôi sẽ giới thiệu các yêu cầu của một chứngchỉ mà bạn cần biết khi làm việc với chúng. Để kết thúc, trongphần ba của loạt bài, chúng tôi sẽ cung cấp cho các bạn một xem xét cận hơn về các lệnh Exchange Management Shell dùng để tạo, quảnlý và xóa cácchứngchỉ Exchange. Tin cậy chứngchỉ tự ký như thế nào? Như đã giới thiệu trong phầ n một của loạt bài này, bạn hoàn toàn có thể cấu hình Exchange để sử dụng chứngchỉ tự ký cho các kịch bản bên trong. Để bảo đảm rằng các máy khách của bạn không gặp phải bất cứ thông báo cảnh báo bảo mật nào khi kết nối với máy chủ Exchange 2007 Client Access, nhưng bạn cần phải làm cho người dùng tin tưởng vào chứngchỉ tự ký. Nhớ rằng, không phải là một ý tưởng tuyệt đối hoàn hảo khi giáo dục người dùng loại bỏ các cảnh báo về bảo mật! Hình 1 thể hiện rằng chứngchỉ tự ký (Self-Signed) không được tin cậy khi sử dụng Outlook Web Access. Hình 1: Chứngchỉ tự ký không tin cậy Có một vài phương pháp để bảo đảm rằng người dùng nhận ra chứngchỉ tự ký là một chứngchỉ tin cậy. Tuy nhiên chúng tôi sẽ chỉ giới thiệu một phương pháp trong đó, đây chính là phương pháp không yêu cầu bất cứ hành động nào từ phía bản thân người dùng và phương pháp này publish chứngchỉ tự ký bằng Group Policies. Mặc dù vậy bạn cần lưu ý rằng vẫn c ần phải lặp lại hành động này mỗi lần làm mới lại chứngchỉ tự ký! Export chứngchỉ tự ký Để export một chứngchỉ tự ký, bạn có thể sử dụng lệnh Export-ExchangeCertificate. Do lệnh này sẽ nhóm cả khóa riêng một cách tự động nên bạn cần phải định nghĩa mật khẩu, có thể xem ví dụ mà chúng tôi đã thực hiện trong hình 2. Hãy lưu ý rằng bạn chỉ có th ể export chứngchỉ tự ký nếu đã đánh dấu chứngchỉ để có được khóa riêng có khả năng export (xem giới thiệu trongphần 1). Hình 2: Export chứngchỉ Publish chứngchỉ như một chứngchỉ tin cậy thông qua Group Policy Bạn hoàn toàn có thể publish một chứngchỉ đã được export trong kho lưu trữ cá nhân của người dùng bằng cách sử dụng Group Policy. Trong ví dụ dưới, chúng tôi đã sử dụng giao diện Group Policy Management để tạo một chính sách mới và áp dụng nó cho miền (hình 3). Hình 3: Tạo và liên kết một GPO mới với miền Chúng ta gọi GPO mới là Trust Self Signed Certificate mới và không sử dụng bất cứ Source Starter GPO nào (hình 4). Hình 4: Tên của GPO mới Do muốn import một chứngchỉ tự ký đã được export, chúng ta hãy vào User Configuration, Policies, Windows Settings, Public Key Policies, và kích chuột phải vào Trusted People để khởi chạy Certificate Import Wizard (xem hình 5). Hình 5: Khởi chạy Certificate Import Wizard Chỉ định file đã được tạo từ trước bằng cách chạy Export-ExchangeCertificate, và kích Next (hình 6). Hình 6: Chọn File để Import Tiếp đến, nhập vào mật khẩu đã được sử dụng để export khóa riêng, sau đố kích Next để tiếp tục (hình 7). Hình 7: Đánh mật khẩu được sử dụng để bảo vệ khóa riêng Nơi lưu trữ chứngchỉ sẽ được thiết lập là Personal Store, kích Next để tiếp tục (hình 8). Hình 8: Chọn nơi lưu trữ chứngchỉ Để kết thúc, kích Finish sau khi xem lại các thiết lập (hình 9). Hình 9: Hoàn thành Certificate Import Wizard Certificate Import Wizard sẽ cho bạn biết rằng quá trình import đã được thực hiện thành công. Khi kích OK và import được thực hiện, lúc này Group Policy đã sẵn sàng cho bạn sử dụng (hình 10). Hình 10: Quá trình import diễn ra thành công Thời gian tiếp theo, người dùng đăng nhập vào miền, hoặc làm tươi lại chính sách nhóms, khi đó chứngchỉ tự ký sẽ được đánh dấu tin cậy. Bạn có thể thấy khi tăng quyền truy cập vào Outlook Web Access (hình 11). Hình 11: Chứngchỉ tự ký đã được tin cậy Lấy chứngchỉ từ nhà thẩm định công Mặc dù Exchange 2007 có khả năng tạo chứngchỉ tự ký trong quá trình cài đặt và bạn có thể kích hoạt các máy khách để tin cậy nó, tuy nhiên vẫn cần lưu ý những gì đã được giới thiệu trongphần một, đó là: 1. Chứngchỉ tự ký chỉ hợp lệ trong vòng một năm 2.Chứngchỉ tự ký chỉchỉ được tin cậy bởi người phát hành nó 3. Chứngchỉ tự ký chỉ không được hỗ trợ cho Outlook Anywhere không có Exchange ActiveSync Chính vì vậy bạn cần phải có được một chứngchỉ từ nhà thẩm định. Bạn có thể triển khai nhà thẩm định chứngchỉ của riêng mình hoặc lấy chứngchỉ từ một nhà thẩm định công. Cách thứ hai được Microsoft khuyên bạn trongcác tình huống dưới đây: • Truy cập máy khách bên ngoài vào Exchange (POP, IMAP, Outlook Web Access, Outlook Anywhere, Exchange ActiveSync, Autodiscover) [...]... Exchange 20 07 and for Communications Server 20 07, trong đó có cung cấp một danh sách các nhà thẩm định chứngchỉ phát hành Unified Communications Certificates cho Microsoft Exchange và cho Communications Server 20 07, có thể được sử dụng để triển khai tính năng Domain Security Nhà thẩm định chứngchỉ công là gì? Nhà thẩm định chứngchỉ công là nhà cấp phát chứngchỉ được tin cậy bởi tất cả các trình... tất cả các trình duyệt và các ứng dụng chính thống Khi quyết định lấy chứngchỉ từ nhà thẩm định, bạn cần phải xem xét xem liệu nhà thẩm định chứngchỉ công có được tin cậy bởi tất cả các ứng dụng mà bạn sẽ sử dụng và xem nó có thể cho phép bạn có được chứngchỉ mà bạn cần (đề cập về tên, ngày hợp lệ và,…) Tên trong một chứngchỉ Hãy quan sát một chứngchỉ và tại sao một chứngchỉ không được sử chấp nhận... bởi Exchange, nó được gói gọn vào một trong những lý do sau: 1 Chứngchỉ bảo mật phải được phát hành bởi một nhà thẩm định chứngchỉ tin cậy; 2Chứngchỉ bảo mật phải không bị thu hồi bởi nhà thẩm định đã phát hành nó; 3 Chứngchỉ bảo mật phải không bị hết hạn; 4 Chứngchỉ bảo mật đi kèm với một tên không tương xứng với tên mong đợi Mặc dù một số ứng dụng như Outlook Web Access cho phép bạn sử dụng chứng. .. Edge.ProExchange.Dmz Subject Alternative ProExchange.Global BelgianBeers.Rock Names: Kết luận Đây là tất cả những gì giới thiệu trongphần hai Trongphần ba của loạt bài này, chúng tôi sẽ cung cấp cho các bạn các bước chi tiết về cách tạo một yêu cầu chứngchỉ như thế nào với Subject Alternative Names và cách import cũng như kích hoạt chứngchỉ đã thu được cho các dịch vụ Exchange ... https://webmail.proexchange.global https://Ex2007EE.proexchange.global k Web https://webmail.belgianbeers.rock Access Outloo https://webmail.proexchange.global https://Ex2007EE.proexchange.global k Anywh ere Free https://webmail.proexchange.global/EW https://Ex2007EE.proexchange.global/ and S /Exchange. asmx EWS /Exchange. asmx Busy inform ation Downl http://webmail.proexchange.global/OAB http://Ex2007EE.proexchange.global/O... với các tổ chức đối tác Nếu lấy chứngchỉ từ một nhà thẩm định chứngchỉ công thì bạn sẽ tự vơ lấy rất nhiều sự phức tạp trong việc để nhà thẩm định chứngchỉ nhận ra một chứngchỉ được tin cậy bởi các máy khách chưa ra nhập miền, và các tổ chức đối tác muốn cấu hình bảo mật miền cho môi trường Exchange Microsoft đã xuất bản một bài báo mang tiêu đề Unified Communications Certificate Partners for Exchange. .. Webmail.ProExchange.Global Webmail.BelgianBeers.Rock Autodiscover.ProExchange.Global Autodiscover.BelgianBeers.Rock Ex2007EE.ProExchange.Global Ex2007EE Ex2007SE.ProExchange.Global Ex2007SE Để kích hoạt EdgeSync, cung cấp TLS và cấu hình bảo mật miền với tổ chức đối tác Sunshine.Edu, bạn cần một chứngchỉ cho Microsoft Exchange Edge server role với các tên dưới đây: • • Common Name = Edge.ProExchange.Dmz... ProExchange.Global Mail Exchanger (MX) BelgianBeers.Rock Mail Exchanger (MX) Edge.ProExchange.Dmz Host (A) Ex2007SE.ProExchange.Global Host (A) Ex2007EE.ProExchange.Global Host (A) Dữ liệu Webmail.ProExchange.Global Webmail.BelgianBeers.Rock External IP ISA Server External IP ISA Server [10] Edge.ProExchange.Dmz [10] Edge.ProExchange.Dmz External IP Edge Server 10.10.10.1 02 10.10.10.101 Bảng 3: Các. .. này và các role của chúng FQDN Exchange Server Edge.ProExchange.dmz Ex2007EE.ProExchange.Global Ex2007SE.ProExchange.Global Role đã được cài đặt Edge Server role Mailbox + Client Access + Hub Transport server role Unified Messaging server role Bảng 1 Xem xét kỹ vào tổ chức Exchange của bạn cho thấy các URL được liệt kê trong bảng 2 đã được sử dụng từ bên ngoài và bên trong bởi những người dùng kết... một trong tổ chức các đối tác của bạn Sunshine.Edu EdgeSync được cấu hình để tạo bản sao cấu hình và các thông tin người nhận của bạn vào Edge server Bạn sẽ thu được hai chứngchỉ từ một CA công, một để publish Outlook Web Access và Outlook Anywhere và một để thiết lập bảo mật miền giữa tổ chức Exchange và Sunhine.Edu Bảng 1 liệt kê các máy chủ Exchange tồn tại trong môi trường Exchange này và các . Quản lý các chứng chỉ trong Exchange – Phần 2 Trong phần này chúng tôi sẽ giới thiệu các yêu cầu cần phải lưu ý khi làm việc với các chứng chỉ. Giới. thiệu trong phần một, đó là: 1. Chứng chỉ tự ký chỉ hợp lệ trong vòng một năm 2. Chứng chỉ tự ký chỉ chỉ được tin cậy bởi người phát hành nó 3. Chứng chỉ