TLS-Funktionalität und die zugehörige Terminologie

  • Artikel

Gilt für: Exchange Server 2013

Microsoft Exchange Server 2013 stellt zusätzliche Verwaltungsfunktionen und andere Verbesserungen zur Verfügung, die die Gesamtverwaltung von TLS (Transport Layer Security) optimieren. Wenn Sie mit dieser Funktionalität arbeiten, müssen Sie einiges über TLS-bezogene Funktionen und über die Funktionalität erfahren. Einige Begriffe und Konzepte beziehen sich auf mehrere TLS-spezifische Funktionen. In diesem Thema finden Sie eine kurze Erläuterung der einzelnen Funktionen, die Sie dabei unterstützen soll, einige Unterschiede sowie die allgemeine Terminologie zu verstehen, die sich auf TLS und die Funktionssammlung "Domänensicherheit" bezieht.

  • Transport Layer Security: TLS ist ein Standardprotokoll, das für sichere Webkommunikation im Internet oder Intranet verwendet wird. Es ermöglicht Clients das Authentifizieren von Servern oder, optional, Servern das Authentifizieren von Clients. Es stellt ferner durch Verschlüsseln der Kommunikation einen sicheren Kanal bereit. TLS ist die aktuellste Version des SSL-Protokolls (Secure Sockets Layer).

  • Gegenseitiges TLS: Die gegenseitige TLS-Authentifizierung unterscheidet sich von TLS, da TLS in der Regel bereitgestellt wird. Bei der Bereitstellung von TLS wird das Protokoll normalerweise nur dazu verwendet, Vertraulichkeit in Form von Verschlüsselung zu bieten. Zwischen dem Absender und dem Empfänger findet keine Authentifizierung statt. Darüber hinaus wird bei Bereitstellung von TLS manchmal nur der empfangende Server authentifiziert. Diese Bereitstellung von TLS ist für die HTTP-Implementierung von TLS typisch. Diese Implementierung, bei der nur der empfangende Server authentifiziert wird, ist SSL.

    With mutual TLS authentication, each server verifies the identity of the other server by validating a certificate that's provided by that other server. In this scenario, where messages are received from external domains over verified connections in an Exchange 2013 environment, Microsoft Outlook displays a Domain Secured icon.

  • Domänensicherheit: Domänensicherheit ist eine Reihe von Features wie Zertifikatverwaltung, Connectorfunktionen und Outlook-Clientverhalten, die gegenseitiges TLS als verwaltbare und nützliche Technologie ermöglichen. Domänensicherheit wird nicht unterstützt, wenn ausgehende E-Mails über einen Exchange 2013-Clientzugriffsserver weitergeleitet werden.

  • Opportunistische TLS: In Exchange 2013 erstellt Setup ein selbstsigniertes Zertifikat. TLS ist standardmäßig aktiviert. Dadurch kann jedes sendende System die bei Exchange eingehende SMTP-Sitzung verschlüsseln. Standardmäßig versucht Exchange 2013, TLS auch für alle Remoteverbindungen zu verwenden.

  • Direkte Vertrauensstellung: Standardmäßig wird der gesamte Datenverkehr zwischen Edge-Transport-Servern und Postfachservern authentifiziert und verschlüsselt. Der zugrundeliegende Mechanismus für Authentifizierung und Verschlüsselung ist auch hier MTLS. Statt die X.509-Gültigkeitsprüfung zu verwenden, verwenden Exchange 2013-Benutzer direkte Vertrauensstellungen zum Authentifizieren der Zertifikate. Direkte Vertrauensstellung bedeutet, dass das Zertifikat durch sein Vorhandensein in Active Directory oder Active Directory Lightweight Directory Services (AD LDS) bestätigt wird. Active Directory wird als vertrauenswürdiger Speichermechanismus betrachtet. Wenn die direkte Vertrauensstellung verwendet wird, ist es nicht von Bedeutung, ob das Zertifikat selbstsigniert oder von einer Zertifizierungsstelle signiert ist. Wenn Sie einen Edge-Transport-Server für eine Exchange-Organisation abonnieren, veröffentlicht das Edge-Abonnement das Edge-Transport-Serverzertifikat für die Überprüfung durch die Postfachserver in Active Directory. Der Microsoft Exchange EdgeSync-Dienst aktualisiert AD LDS mit dem Satz von Postfachserverzertifikaten, damit diese vom Edge-Transport-Server überprüft werden können.