Cómo configurar el TLS mutuo para la seguridad del dominio

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2009-04-20

En este tema se explica cómo utilizar el Shell de administración de Exchange para configurar la seguridad de nivel de transporte (TLS) mutua para seguridad del dominio, el conjunto de funcionalidades en Microsoft Exchange Server 2007 y Microsoft Office Outlook 2007 que proporciona una alternativa de costo relativamente bajo a S/MIME y otras soluciones de seguridad a nivel de mensajes.

Con fines ilustrativos, este tema explica cómo los administradores de Exchange de una compañía ficticia, Contoso, configuran su entorno de Exchange 2007 para intercambiar correo electrónico seguro de dominio con su socio, Woodgrove Bank. En este supuesto, Contoso desea asegurarse de que todo el correo enviado a Woodgrove Bank y el que se recibe de él está protegido con TLS mutua. Además, Contoso desea configurar la funcionalidad de seguridad del dominio para que todo el correo dirigido a Woodgrove Bank y procedente del mismo sea rechazado si no se puede utilizar TLS mutua.

Contoso tiene una infraestructura de clave pública (PKI) que genera certificados. El certificado raíz de PKI ha sido firmado por una importante entidad de certificación (CA) de terceros. Woodgrove Bank utiliza la misma CA de terceros para generar sus certificados. Por tanto, tanto Contoso como Woodgrove Bank confían en la CA raíz del otro.

Para configurar la TLS mutua, los administradores de Exchange de Contoso llevan a cabo los procedimientos siguientes:

  1. Generar una solicitud de certificado para certificados TLS.

  2. Importar el certificado a servidores de transporte perimetral.

  3. Configurar la seguridad de dominio saliente.

  4. Configurar la seguridad de dominio entrante.

  5. Probar el flujo de correo.

Antes de empezar

La configuración de TLS mutua requiere lo siguiente:

  • Acceso a los servidores internos de Exchange 2007 mediante los cmdlets Set-TransportConfig yNew-SendConnector si no ha configurado los conectores de envío.

  • Acceso a los equipos del servidor de transporte perimetral donde se ejecutan los cmdlets ExchangeCertificate.

Generalmente, los cambios de configuración que se realizan en la funcionalidad de seguridad de dominio que no utilizan los cmdlets ExchangeCertificate se deben realizar dentro de la organización y sincronizar con los servidores de transporte perimetral mediante el servicio EdgeSync de Microsoft Exchange.

Al importar y configurar certificados de TLS mediante los cmdlets ExchangeCertificate, debe ejecutar los cmdlets en el servidor de transporte perimetral que esté configurando. Para ejecutar los cmdlets ExchangeCertificate en un equipo que tiene instalada la función del servidor Transporte perimetral, debe iniciar sesión mediante una cuenta que sea miembro del grupo local de administradores de dicho equipo.

Para ejecutar el cmdlet Set-TransportConfig, se debe delegar la función Administradores de la organización de Exchange en la cuenta que use.

Para ejecutar el cmdlet New-SendConnector, se debe delegar la función Administrador de servidor de Exchange y el grupo Administradores local en la cuenta que use en ese equipo.

Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange 2007, consulte Consideraciones sobre permisos.

En este tema se da por sentado que ha leído y entendido Creación de un certificado o de una solicitud de certificado para TLS (en inglés).

El servicio EdgeSync de Microsoft Exchange debe estar implementado completamente para seguridad de dominio.

Antes de poder ejecutar correctamente TLS mutua en un servidor de transporte perimetral, debe configurar el equipo y el entorno PKI de modo que la comprobación de listas de validación de certificados y de revocación de certificados sean operativas. Para obtener más información, vea Cómo habilitar la PKI en la función de servidor de transporte perimetral para la seguridad del dominio (en inglés).

Generar una solicitud de certificado para certificados TLS

Como se indicó anteriormente en este tema, Contoso tiene una PKI subordinada a una CA de terceros. En este supuesto, la subordinación hace referencia al hecho de que la CA implementada por Contoso en su infraestructura corporativa contiene un certificado raíz firmado por una CA pública de terceros. De forma predeterminada, la CA pública de terceros es uno de los certificados raíz de confianza en el almacén de certificados de MicrosoftWindows. Por tanto, cualquier cliente que incluya la misma CA de terceros en su almacén raíz de confianza y que se conecte a Contoso se puede autenticar ante el certificado presentado por Contoso.

Contoso tiene dos servidores de transporte perimetral que requieren certificados TLS: mail1.contoso.com y mail2.mail.contoso.com. Por tanto, el administrador de correo electrónico de Contoso debe generar dos solicitudes de certificado, una para cada servidor.

El procedimiento siguiente muestra el comando que utiliza el administrador para generar una solicitud de certificado PKCS#10 codificada en base 64. El administrador de Contoso debe ejecutar este comando dos veces: una vez para CN=mail1.contoso.com y una vez para CN=mail2.mail.contoso.com.

Nota

El nombre común (CN) en el nombre Asunto de los certificados resultantes es mail1.contoso.com y mail2.mail.contoso.com respectivamente. El nombre alternativo de asunto contiene "mail.contoso.com", que es el nombre de dominio completo (FQDN) de uno de los dominios aceptados que está configurado para Contoso.

Para crear una solicitud de certificado TLS

  • Ejecute el siguiente comando:

    New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate" -Path c:\certificates\request.p7c -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com"  -DomainName mail.contoso.com
    

Para obtener información más detallada acerca de la sintaxis y los parámetros, vea New-ExchangeCertificate (en inglés).

Importante

Los detalles especificaos del certificado o de la solicitud de certificado que cree dependen de muchas variables. Si genera una solicitud, asegúrese de que trabaja estrechamente con el administrador de CA o de PKI que emitirá el certificado. Para obtener más información acerca de cómo crear una solicitud de certificado para TLS, consulte Creación de un certificado o de una solicitud de certificado para TLS.

Transporte de certificados y claves relacionadas

Cuando reciba un certificado de su proveedor de PKI o CA, convierta el certificado emitido en un archivo PFX (PKCS#12) de forma que pueda hacer copia de seguridad de éste como parte de una contingencia de desastres. El certificado y las claves relacionadas están incluidos en un archivo PFX. En algunos casos, es posible que desee transportar el certificado y las claves para moverlas a otros equipos. Por ejemplo, si tiene varios servidores de transporte perimetral en los que espera enviar y recibir correo electrónico de dominio seguro, puede crear un único certificado que funcione en todos los servidores. En este caso, debe importar y habilitar el certificado para TLS en todos los servidores de transporte perimetral.

Mientras tenga guardada una copia del archivo PFX de forma segura, puede importar y habilitar el certificado. El archivo PFX contiene la clave privada, por lo que es importante que proteja físicamente el archivo manteniéndolo en un medio de almacenamiento en una ubicación segura.

Es importante que comprenda que el cmdlet Import-ExchangeCertificate siempre marca la clave privada importada desde el PFX como no exportable. Ésta funcionalidad es intencionada.

Cuando utiliza el complemento Administrador de certificados en la Consola de administración de Microsoft (MMC) para importar un archivo PFX, puede especificar la posibilidad de exportación de claves privadas y la protección de claves seguras.

Importante

No habilite la protección de claves seguras en certificados proyectados para TLS. La protección de claves seguras se solicita al usuario cada vez que obtiene acceso a la clave privada. Con seguridad de dominio, el "usuario" es el servicio SMTP del servidor de transporte perimetral.

Importar certificados a servidores de transporte perimetral.

Una vez generadas las solicitudes de certificado, el administrador las utiliza para generar los certificados para los servidores. Los certificados resultantes se deben emitir como certificado simple o cadena de certificados y copiar a los servidores de transporte perimetral adecuados.

Importante

Para importar los certificados, debe usar el cmdlet Import-ExchangeCertificate. Para obtener más información, consulte Import-ExchangeCertificate.

Importante

No utilice el complemento Administrador de certificados en la MMC para importar los certificados para TLS en el servidor de Exchange. El uso del complemento Administrador de certificados para importar certificados en servidores de Exchange no vincula la solicitud que se crea en este procedimiento con el certificado emitido. Por tanto, es posible que TLS genere un error. Puede utilizar el complemento Administrador de certificados para importar certificados y claves almacenadas como archivos PFX en el almacén del equipo local. Una vez importados los certificados, puede habilitar después el certificado para TLS ejecutando el cmdlet Enable-ExchangeCertificate.

Cuando se importa el certificado al servidor de transporte perimetral, debe habilitarlo también para el servicio Protocolo simple de transferencia de correo (SMTP). El administrador de Contoso ejecuta el comando siguiente en cada servidor de transporte perimetral, una vez para cada certificado respectivo.

Para importar y habilitar un certificado de TLS para seguridad de dominio en un servidor de transporte perimetral

  • Ejecute el siguiente comando:

    Import-ExchangeCertificate -Path c:\certificates\import.pfx | Enable-ExchangeCertificate -Services SMTP
    

Este comando importa y habilita el certificado de TLS canalizando el cmdlet Enable-ExchangeCertificate.

También puede habilitar el certificado después de importarlo. Para importar el certificado, ejecute el siguiente comando:

Import-ExchangeCertificate -Path c:\certificates\import.pfx 

A continuación, copie la huella digital al portapapeles de Windows. Para visualizar la huella digital del certificado que acaba de importar, ejecute el siguiente comando:

Get-ExchangeCertificate |FL

Copie los datos del campo de la huella digital al portapapeles de Windows.

Finalmente, para habilitar el certificado, ejecute el siguiente comando:

Enable-ExchangeCertificate -Thumbprint AB493A0C9A6C0327162FE04EF74609CB8FB7FE24 -Services SMTP

Configurar la seguridad de dominio saliente

Debe llevar a cabo tres pasos para configurar la seguridad de dominio saliente:

  1. Ejecute el cmdlet Set-TransportConfig para especificar el dominio con el que desea enviar correo electrónico seguro de dominio.

  2. Ejecute el cmdlet Set-SendConnector para configurar la propiedad DomainSecureEnabled en el conector de envío que enviará correo al dominio con el que desea enviar correo electrónico seguro de dominio.

  3. Ejecute el cmdlet Set-SendConnector para comprobar lo siguiente:

    • El conector de envío que enviará correo al dominio con el que desea enviar correo electrónico seguro de dominio enruta el correo electrónico con Sistema de nombres de dominio (DNS).

    • El FQDN está configurado para que coincida con el nombre de asunto o con el nombre alternativo de asunto de los certificados que está utilizando para seguridad de dominio.

Dado que los cambios que se realicen en estos tres pasos son globales, debe implementar dichos cambios en un servidor Exchange interno. Los cambios de configuración que haga se replicarán en los servidores de transporte perimetral mediante el servicio EdgeSync de Microsoft Exchange.

Especificar el dominio de remitente en la configuración de transporte

Es relativamente sencillo especificar el dominio con el que desea enviar correo electrónico seguro de dominio. El administrador de Contoso ejecuta el siguiente comando en un servidor Exchange 2007 interno:

Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com

Para obtener más información, vea Set-TransportConfig (en inglés).

Nota

El parámetro TLSSendDomainSecureList toma una lista de nombres de dominios de múltiples valores. El comando Set-TransportConfig sustituye todo el valor por TLSSendDomainSecureList con el nuevo valor proporcionado en el cmdlet. Por tanto, si desea agregar un nuevo dominio, el valor que proporcione debe incluir la lista existente y el nuevo dominio.

Configurar un conector de envío

Contoso utilizará su conector de envío enrutado por DNS predeterminado para enviar correo electrónico seguro de dominio a sus socios. Dado que su conector de envío enrutado por DNS predeterminado es un conector de envío de Internet predeterminado, utiliza DNS para enrutar correo, no un host inteligente. El FQDN ya está establecido en mail.contoso.com. Dado que los certificados que creó el administrador de Contoso establecen el parámetro DomainName de New-ExchangeCertificate en mail.contoso.com, el conector de envío puede utilizar certificados sin configuración adicional.

Si ha configurado un subdominio para la realización de pruebas, puede que tenga que actualizar el FQDN de su conector de envío para que coincida con el certificado que ha creado (por ejemplo, subdominio.correo.contoso.com). Por otro lado, si ha creado un certificado que contiene el subdominio en los campos Asunto o Nombre alternativo de asunto, no tiene que actualizar el FQDN del conector de envío.

Por tanto, el administrador de Contoso únicamente debe establecer el parámetro DomainSecureEnabled en el conector de envío. Para ello, ejecuta el siguiente comando en un servidor Exchange 2007 interno para el conector de envío de "Internet":

Set-SendConnector Internet -DomainSecureEnabled:$True

Para obtener más información, vea Set-SendConnector (en inglés).

También puede utilizar la Consola de administración de Exchange para habilitar el correo electrónico seguro de dominio en un conector de envío.

Para usar la Consola de administración de Exchange para configurar un conector de envío para seguridad de dominio

  1. En un servidor de transporte de concentradores, abra la Consola de administración de Exchange, haga clic en Configuración de organización, en Transporte de concentradores y, a continuación, en el panel de resultados, haga clic en la ficha Conectores de envío.

  2. Seleccione el conector de envío que envía correo al dominio desde el que desea enviar correo electrónico seguro de dominio y, a continuación, en el panel de acciones, haga clic en Propiedades.

  3. En la ficha Red, seleccione Habilitar la seguridad de dominio (Autenticación TLS mutua), haga clic en Aplicar y, a continuación, en Aceptar.

Configurar la seguridad de dominio entrante

Debe ejecutar dos pasos para habilitar la seguridad de dominio entrante:

  1. Ejecute el cmdlet Set-TransportConfig para especificar el dominio desde el que desea recibir correo electrónico seguro de dominio.

  2. En el servidor de transporte perimetral, utilice el Shell de administración de Exchange o la Consola de administración de Exchange para habilitar la seguridad de dominio en el conector de recepción desde el que desea recibir correo electrónico seguro de dominio. Dado que la seguridad de dominio requiere autenticación TLS mutua, en el conector de recepción también se debe habilitar TLS.

Especificación del dominio de destinatario en la configuración de transporte

Es relativamente sencillo especificar el dominio con el que desea recibir correo electrónico seguro de dominio. Para especificar el dominio, el administrador de Contoso ejecuta el siguiente comando en un servidor Exchange 2007 interno:

Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com

Para obtener más información, vea Set-TransportConfig (en inglés).

Nota

El parámetro TLSReceiveDomainSecureList toma una lista de nombres de dominios de múltiples valores. El comando Set-TransportConfig sustituye todo el valor por el parámetro TLSReceiveDomainSecureList con el nuevo valor proporcionado por el cmdlet Set-TransportConfig. Por tanto, si desea agregar un nuevo dominio, el valor que proporcione debe incluir la lista existente y el nuevo dominio.

Configurar un conector de recepción

Debe configurar el conector de recepción en cada servidor de transporte perimetral que acepte correo desde el dominio desde el que se desea recibir correo electrónico seguro de dominio. El entorno de Contoso está configurado para tener un único conector de recepción de Internet, con una identidad de Inet en ambos servidores de transporte perimetral. Por tanto, para habilitar TLS mientras se envía o se recibe correo desde Woodgrove Bank, el administrador de Contoso se debe asegurar de que TLS está habilitado en el conector de recepción de Internet predeterminado en ambos servidores de transporte perimetral.

Para usar el Shell de administración de Exchange para configurar un conector de recepción para seguridad de dominio

  • En el servidor de transporte perimetral, ejecute el siguiente comando:

    Set-ReceiveConnector Inet -DomainSecureEnabled:$True -AuthMechanism TLS
    

Para obtener información más detallada acerca de la sintaxis y los parámetros, vea Set-ReceiveConnector (en inglés).

Para usar la Consola de administración de Exchange para configurar un conector de recepción para seguridad de dominio

  1. En un servidor de transporte perimetral, abra la Consola de administración de Exchange, haga clic en Transporte perimetral y, a continuación, en el panel de resultados, haga clic en la ficha Conectores de recepción.

  2. Seleccione el conector de recepción que acepta correo desde el dominio desde el que desea recibir correo electrónico seguro de dominio y, a continuación, en el panel de acciones, haga clic en Propiedades.

  3. En la ficha Autenticación, seleccione Seguridad de nivel de transporte (TLS) y Habilitar la seguridad de dominio (Autenticación TLS mutua) y, a continuación, haga clic en Aceptar.

Tenga en cuenta que especificar el mecanismo de autenticación como TLS no fuerza TLS en todas las conexiones entrantes.

TLS se forzará en las conexiones de Woodgrove Bank por los siguientes motivos:

  • Woodgrove Bank está especificado en el cmdlet Set-TransportConfig en el parámetro TLSReceiveDomainSecureList.

  • El parámetro DomainSecureEnabled está establecido en $True en el conector de recepción.

Otros remitentes que no se enumeran en el parámetro TLSReceiveDomainSecureList en el cmdlet Set-TransportConfig sólo utilizarán TLS si es compatible con el sistema de envío.

Nota

Un efecto adicional al habilitar la seguridad de dominio en un conector de recepción es que se solicita un certificado de cliente durante la negociación de TLS. Si el dominio desde el que el cliente está enviando no está en la lista de dominios seguros, no se requerirá que el cliente envíe el certificado.

Probar el flujo de correo seguro de dominio

Tras configurar el correo electrónico seguro de dominio, puede probar la conexión revisando los registros de rendimiento y los registros de protocolo. Los mensajes que se han autenticado correctamente sobre la ruta de flujo de correo seguro de dominio se muestran en Outlook 2007 como mensajes "Seguros de dominio".

Contadores de rendimiento

La función Seguridad de dominio incluye el siguiente conjunto de contadores de rendimiento en Transporte de correo seguro de MSExchange:

  • Mensajes recibidos de dominio seguro

  • Mensajes enviados de dominio seguro

  • Errores de sesión salientes de dominio seguro

Puede crear un nuevo archivo de registro de contadores para flujo de correo seguro de dominio con estos contadores de rendimiento para supervisar el número de mensajes enviados y recibidos así como las sesiones de TLS mutua con error. Para obtener más información acerca de cómo crear y configurar registros de contadores, vea el archivo de ayuda incluido con el complemento MMC Registros de rendimiento y alertas.

Registros de protocolo

Puede revisar los registros de protocolo de envío y recepción para determinar si la negociación de TLS ha tenido éxito. La negociación de TLS correcta generará registros parecidos a los ejemplos siguientes.

Para ver los registros de protocolo detallados, debe establecer el nivel de registro de protocolo en Verbose en los conectores que utilice su organización para enviar y recibir correos electrónicos de dominio seguro.

Para usar el Shell de administración de Exchange para configurar un conector de recepción para registro de protocolo detallado

  • En el servidor de transporte perimetral, ejecute el comando siguiente:

    Set-ReceiveConnector Inet -ProtocolLoggingLevel Verbose
    

    Donde Inet es el nombre del conector de recepción en el que está habilitado el correo electrónico de dominio seguro.

Para usar el Shell de administración de Exchange para configurar un conector de envío para registro de protocolo detallado

  • En el servidor de transporte perimetral, ejecute el comando siguiente:

    Set-SendConnector Internet -ProtocolLoggingLevel Verbose
    

    Donde Internet es el nombre del conector de envío en el que está habilitado el correo electrónico de dominio seguro.

Ejemplo de un registro de envío

<220 edgedns3 ESMTP Microsoft ESMTP MAIL Service, Version: 8.0.647.0; Tue, 29 Aug 2006 04:22:00 -0700 (PDT)
>EHLO edgea36.dns.contoso.com
<250-edgedns3 Hello woodgrove.com [192.168.0.2], pleased to meet you
<250-ENHANCEDSTATUSCODES
<250-PIPELINING
<250-EXPN
<250-VERB
<250-8BITMIME
<250-SIZE
<250-DSN
<250-ETRN
<250-STARTTLS
<250-DELIVERBY
<250 HELP
>STARTTLS
<220 2.0.0 Ready to start TLS
*Sending certificate
*CN=edgea36, Certificate subject
*CN=edgea36, Certificate issuer name
*CA2EDF2487C6F09B4E413FD3812A7F89, Certificate serial number
*E8DA062786FD097DD8D79FF10C583CC23AD64F6C, Certificate thumbprint
*edgea36;edgea36.dns.contoso.com, Certificate alternate names
*Received certificate
*CN=smi.extest.contoso.com, OU=Contoso, O=Corp, L=Spokane, S=WA, C=US, Certificate subject
*CN=ExCertDom EntSub Issuing CA v1.0, DC=ExCertDom, DC=ExTest, DC=Contoso, DC=Com, Certificate issuer name
*446DD186000A00002819, Certificate serial number
*DC27B5F8657F84B15B5004BE63CE482721871582, Certificate thumbprint
*smi.extest.contoso.com, Certificate alternate names
>EHLO edgea36.dns.contoso.com
<250-edgedns3 Hello woodgrove.com [192.168.0.2], pleased to meet you
<250-ENHANCEDSTATUSCODES
<250-PIPELINING
<250-EXPN
<250-VERB
<250-8BITMIME
<250-SIZE
<250-DSN
<250-ETRN
<250-DELIVERBY
<250 HELP
*08C895F533E837EC;2006-08-28T22:37:53.323Z;1, sending message
>MAIL FROM:<user@example.com> SIZE=614
>RCPT TO:<root@smi.extest.contoso.com>
<250 2.1.0 <user@example.com>... Sender ok
<250 2.1.5 <root@smi.extest.contoso.com>... Recipient ok
>DATA
<354 Enter mail, end with "." on a line by itself
<250 2.0.0 k7TBM0BZ000043 Message accepted for delivery
>QUIT
<221 2.0.0 edgedns3 closing connection

Ejemplo de un registro de recepción

>220 edgea36 Microsoft ESMTP MAIL Service, Version: 8.0.647.0 ready at Mon, 28 Aug 2006 15:37:53 -0700
<EHLO edgedns3
>250-edgea36.dns.contoso.com Hello [192.168.0.1]
>250-SIZE 15728640
>250-PIPELINING
>250-DSN
>250-ENHANCEDSTATUSCODES
>250-STARTTLS
>250-AUTH
>250-8BITMIME
>250-BINARYMIME
>250 CHUNKING
<STARTTLS
>220 2.0.0 SMTP server ready
*Sending certificate
*CN=edgea36, Certificate subject
*CN=edgea36, Certificate issuer name
*CA2EDF2487C6F09B4E413FD3812A7F89, Certificate serial number
*E8DA062786FD097DD8D79FF10C583CC23AD64F6C, Certificate thumbprint
*edgea36;edgea36.dns.contoso.com, Certificate alternate names
*Received certificate
*CN=smi.extest.contoso.com, OU=Contoso, O=Corp, L=Spokane, S=WA, C=US, Certificate subject
*CN=ExCertDom EntSub Issuing CA v1.0, DC=ExCertDom, DC=ExTest, DC=Contoso, DC=Com, Certificate issuer name
*446DD186000A00002819, Certificate serial number
*DC27B5F8657F84B15B5004BE63CE482721871582, Certificate thumbprint
*smi.extest.contoso.com, Certificate alternate names
<EHLO edgedns3
>250-edgea36.dns.contoso.com Hello [192.168.0.1]
>250-SIZE 15728640
>250-PIPELINING
>250-DSN
>250-ENHANCEDSTATUSCODES
>250-AUTH
>250-8BITMIME
>250-BINARYMIME
>250 CHUNKING
<MAIL From:<user@smi.extest.contoso.com> SIZE=16
*08C895F533E837EC;2006-08-28T22:37:53.323Z;1, receiving message
>250 2.1.0 user@smi.extest.contoso.com Sender OK
<RCPT To:<user@woodgrove.com>
>250 2.1.5 user@woodgrove.com Recipient OK
<DATA
>354 Start mail input; end with <CRLF>.<CRLF>
>250 2.6.0 <200608281121.k7SBHYi0004586@edgedns3> Queued mail for delivery
<QUIT
>221 2.0.0 Service closing transmission channel

Para obtener más información acerca de cómo ver registros de protocolo, vea Cómo configurar el registro de protocolo (en inglés).

Para obtener más información acerca de cómo administrar la seguridad de dominios de Exchange 2007, vea Administrar la seguridad de dominio (en inglés).

Para obtener más información acerca de las prácticas recomendadas para configurar una infraestructura de claves públicas, consulte Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure (página en inglés).