Uso de la seguridad de dominio: Configuración de TLS mutua

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2009-12-07

En este tema, se explica cómo configurar la Seguridad de la capa de transporte (TLS) mutua para la seguridad de dominio, el conjunto de funciones en Microsoft Exchange Server 2010 y Microsoft Office Outlook 2007 que proporciona una alternativa de coste relativamente bajo a S/MIME y otras soluciones de seguridad para los mensajes.

En este escenario, este tema explica cómo los administradores de Exchange de una compañía ficticia, Contoso, configuran su entorno de Exchange 2010 para intercambiar correo electrónico de dominio seguro con su socio, Woodgrove Bank. Los administradores de Contoso desean asegurarse de que todo el correo electrónico que se envía a Woodgrove Bank y que se recibe de él esté protegido con TLS mutua. Además, desean configurar la funcionalidad de seguridad de dominio para que todo el correo dirigido a Woodgrove Bank y procedente de él sea rechazado si no se puede usar TLS mutua.

Contoso tiene una infraestructura de clave pública (PKI) que genera certificados. El certificado raíz de PKI ha sido firmado por una importante entidad de certificación (CA) de terceros. Woodgrove Bank utiliza la misma CA de terceros para generar sus certificados. Por tanto, tanto Contoso como Woodgrove Bank confían en la CA raíz del otro.

Para configurar la TLS mutua, los administradores de Exchange de Contoso llevan a cabo los procedimientos siguientes:

Paso 1: Generar una solicitud de certificado para certificados TLS

Paso 2: Importar certificados a servidores de transporte perimetral

Paso 3: Configurar la seguridad de dominio saliente

Paso 4: Configurar la seguridad de dominio entrante

Paso 5: Probar el flujo de correo seguro de dominio

Requisitos previos

• En este tema, se da por sentado que ha leído y entendido Generar solicitudes para servicios de certificados de terceros.

• El servicio EdgeSync de Microsoft Exchange debe estar implementado completamente para la seguridad de dominio. Por lo general, los cambios de configuración que se realizan en la funcionalidad de seguridad de dominio que no usan los cmdlets ExchangeCertificate se realizan dentro de la organización y se sincronizan con los servidores de transporte perimetral mediante el servicio EdgeSync de Microsoft Exchange.

• Antes de poder ejecutar correctamente TLS mutua en un servidor de transporte perimetral, debe configurar el equipo y el entorno PKI de modo que la comprobación de listas de validación de certificados y de revocación de certificados sean operativas. Para obtener más información, vea Uso de PKI en el servidor Transporte perimetral para la seguridad del dominio (en inglés).

• Si bien, en esta situación, los pasos de configuración individual se pueden realizar con menos derechos, para completar todas las tareas de situación de descentralización, su cuenta debe pertenecer al grupo de funciones de administración Administración de la organización.

Paso 1: Generar una solicitud de certificado para certificados TLS

Contoso tiene una PKI interna que está subordinada a una CA externa. En este caso, la subordinación hace referencia al hecho de que la CA implementada por Contoso en la infraestructura corporativa contiene un certificado raíz firmado por una CA pública externa. De forma predeterminada, la CA pública de terceros es uno de los certificados raíz de confianza en el almacén de certificados de MicrosoftWindows. Por tanto, cualquier cliente que incluya la misma CA externa en su almacén raíz de confianza y que se conecte a Contoso se puede autenticar con el certificado presentado por Contoso.

Contoso tiene dos servidores de transporte perimetral que requieren certificados TLS: mail1.contoso.com y mail2.mail.contoso.com. Por tanto, el administrador de correo electrónico de Contoso debe generar dos solicitudes de certificado, una para cada servidor.

En el siguiente ejemplo, se muestran los comandos que usa el administrador para generar solicitudes de certificados PKCS#10 con codificación Base64.

El administrador de Contoso debe ejecutar este comando para CN=mail1.contoso.com.

$Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1

El administrador de Contoso debe ejecutar este comando para CN=mail2.mail.contoso.com.

$Data2 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail2" -SubjectName "DC=com,DC=Contoso,CN=mail2.mail.contoso.com"  -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail2-request.req" -Value $Data2

Para obtener información más detallada acerca de la sintaxis y los parámetros, vea New-ExchangeCertificate (en inglés).

Volver al principio

Paso 2: Importar certificados a servidores de transporte perimetral

Una vez que el administrador de Contoso genera las solicitudes de certificado, el administrador de CA de Contoso las usa para generar los certificados para los servidores. Los certificados resultantes se deben emitir como certificado simple o cadena de certificados y copiar a los servidores de transporte perimetral adecuados.

Cuando importa el certificado en el servidor de transporte perimetral, también debe habilitar dicho certificado para el servicio SMTP. El administrador de Contoso ejecuta el comando siguiente en cada servidor de transporte perimetral, una vez para cada certificado respectivo.

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\Certificates\mail1-certificate.pfx -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

En el ejemplo anterior, se importa y se habilita el certificado TLS mediante la canalización al cmdlet Enable-ExchangeCertificate. También puede habilitar el certificado después de importarlo. Si lo hace, deberá especificar la huella digital del certificado que desea habilitar.

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte los temas Import-ExchangeCertificate y Enable-ExchangeCertificate.

Transporte de certificados y claves relacionadas

Cuando reciba un certificado del proveedor de PKI o CA, convierta el certificado emitido en un archivo .pfx (PKCS#12) de forma que pueda hacer copia de seguridad de éste como parte de una contingencia de desastres. El certificado y las claves relacionadas están incluidos en un archivo .pfx. En algunos casos, es posible que desee transportar el certificado y las claves para moverlas a otros equipos. Por ejemplo, si tiene varios servidores de transporte perimetral en los que espera enviar y recibir correo electrónico de dominio seguro, puede crear un único certificado que funcione en todos los servidores. En este caso, debe importar y habilitar el certificado para TLS en todos los servidores de transporte perimetral.

Mientras tenga guardada una copia del archivo .pfx de forma segura, siempre podrá importar y habilitar el certificado. El archivo .pfx contiene la clave privada, por lo que es importante que proteja físicamente el archivo conservándolo en un medio de almacenamiento en una ubicación segura.

Es importante comprender que el cmdlet Import-ExchangeCertificate siempre marca la clave privada importada desde el archivo .pfx como "no exportable". Ésta funcionalidad es intencionada.

Cuando usa el complemento Administrador de certificados en MMC para importar un archivo .pfx, puede especificar la exportabilidad de claves privadas y la protección de claves de alta seguridad.

Volver al principio

Paso 3: Configurar la seguridad de dominio saliente

Debe llevar a cabo tres pasos para configurar la seguridad de dominio saliente:

1. Ejecute el cmdlet Set-TransportConfig para especificar el dominio con el que desea enviar correo electrónico seguro de dominio.

2. Ejecute el cmdlet Set-SendConnector para configurar la propiedad DomainSecureEnabled en el conector de envío que enviará correo al dominio con el que desea enviar correo electrónico seguro de dominio.

3. Ejecute el cmdlet Get-SendConnector para comprobar lo siguiente:

   • El conector de envío que enviará correo al dominio con el que desea enviar correo electrónico seguro de dominio enruta el correo electrónico con Sistema de nombres de dominio (DNS).

   • El FQDN está configurado para que coincida con el nombre del sujeto o con el nombre alternativo del sujeto de los certificados que está usando para seguridad de dominio.

Dado que los cambios que se realicen en estos tres pasos son globales, debe implementar dichos cambios en un servidor Exchange interno. Los cambios de configuración que haga se replicarán en los servidores de transporte perimetral mediante el servicio EdgeSync de Microsoft Exchange.

Paso 3a: Especificar el dominio del remitente en la configuración de transporte

Es relativamente sencillo especificar el dominio con el que desea enviar correo electrónico de dominio seguro. El administrador de Contoso ejecuta el siguiente comando en un servidor interno de Exchange 2010.

Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com

El parámetro TLSSendDomainSecureList toma una lista multivalor de nombres de dominio. El comando Set-TransportConfig sustituye todo el valor de TLSSendDomainSecureList con el nuevo valor proporcionado en el cmdlet. Por lo tanto, si ya tiene otros dominios configurados y desea agregar un dominio nuevo, debe incluir el dominio existente en la lista o usar una variable temporal. En el siguiente ejemplo, se muestra cómo agregar el dominio woodgrovebank.com al parámetro TLSSendDomainSecureList sin sobrescribir los valores existentes.

$TransportConfig = Get-TransportConfig
$TransportConfig.TLSSendDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSSendDomainSecureList $TransportConfig.TLSSendDomainSecureList

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-TransportConfig.

Paso 3b: Configurar el conector de envío predeterminado

Contoso usará el conector de envío enrutado por DNS predeterminado denominado "Internet" para enviar correo electrónico de dominio seguro a sus socios. Dado que su conector de envío enrutado por DNS predeterminado es un conector de envío de Internet predeterminado, usa DNS para enrutar el correo y no un host inteligente. El FQDN ya está establecido en mail.contoso.com. Dado que los certificados que creó el administrador de Contoso establecen el parámetro DomainName de New-ExchangeCertificate en mail.contoso.com, el conector de envío puede usar certificados sin configuración adicional.

Si ha configurado un subdominio para la realización de pruebas, es posible que deba actualizar el FQDN del conector de envío para que coincida con el certificado que ha creado (por ejemplo, subdominio.correo.contoso.com). Por otro lado, si ha creado un certificado que contiene el subdominio en los campos Asunto o Nombre alternativo del sujeto, no tiene que actualizar el FQDN del conector de envío.

Por tanto, el administrador de Contoso únicamente debe establecer el parámetro DomainSecureEnabled en el conector de envío. Para ello, ejecuta el siguiente comando en un servidor interno de Exchange 2010 para el conector de envío de Internet.

Set-SendConnector Internet -DomainSecureEnabled:$true

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-SendConnector.

Paso 3c: Comprobar la configuración del conector de envío

Después de completar los cambios de configuración, el administrador de Contoso debe comprobar que el conector de envío que se usa para la seguridad de dominio esté configurado correctamente. Para ello, el administrador de Contoso debe ejecutar el siguiente comando.

Get-SendConnector Internet | Format-List Name,DNSRoutingEnabled,FQDN,DomainSecureEnabled

Este comando enumerará los parámetros relevantes configurados para la seguridad de dominio, lo que permitirá al administrador de Contoso comprobar la configuración.

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Get-SendConnector.

Volver al principio

Paso 4: Configurar la seguridad de dominio entrante

Debe ejecutar dos pasos para habilitar la seguridad de dominio entrante:

1. Ejecute el cmdlet Set-TransportConfig para especificar el dominio desde el que desea recibir correo electrónico seguro de dominio.

2. En el servidor de transporte perimetral, use el Shell de administración de Exchange o la Consola de administración de Exchange (EMC) para habilitar la seguridad de dominio en el conector de recepción desde el que desea recibir correo electrónico de dominio seguro. Dado que la seguridad de dominio requiere autenticación TLS mutua, en el conector de recepción también se debe habilitar TLS.

Paso 4a: Especificar el dominio de destinatario en la configuración de transporte

Es relativamente sencillo especificar el dominio con el que desea recibir correo electrónico de dominio seguro. Para especificar el dominio, el administrador de Contoso ejecuta el siguiente comando en el Shell de un servidor interno de Exchange 2010 o una estación de trabajo de administración.

Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com

El parámetro TLSReceiveDomainSecureList toma una lista multivalor de nombres de dominio. El comando Set-TransportConfig sustituye todo el valor del parámetro TLSReceiveDomainSecureList con el nuevo valor proporcionado por el cmdlet Set-TransportConfig. Por lo tanto, si ya tiene otros dominios configurados y desea agregar un dominio nuevo, debe incluir el dominio existente en la lista o usar una variable temporal. En el siguiente ejemplo, se muestra cómo agregar el dominio woodgrovebank.com al parámetro TLSReceiveDomainSecureList sin sobrescribir los valores existentes.

$TransportConfig = Get-TransportConfig
$TransportConfig.TLSReceiveDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSReceiveDomainSecureList $TransportConfig.TLSReceiveDomainSecureList

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-TransportConfig.

Paso 4b: Configurar el conector de recepción

Debe configurar el conector de recepción en cada servidor de transporte perimetral que acepte correo desde el dominio desde el que se desea recibir correo electrónico seguro de dominio. El entorno de Contoso está configurado para tener un único conector de recepción de Internet, con un valor de parámetro Identity de Internet en ambos servidores de transporte perimetral. Por tanto, para habilitar TLS mientras se envía o se recibe correo desde Woodgrove Bank, el administrador de Contoso se debe asegurar de que TLS está habilitado en el conector de recepción de Internet predeterminado en ambos servidores de transporte perimetral. Para ello, el administrador de Contoso ejecuta el siguiente comando en correo1.contoso.com y en correo2.mail.contoso.com.

Set-ReceiveConnector Internet -DomainSecureEnabled $true -AuthMechanism TLS

Para obtener información más detallada acerca de la sintaxis y los parámetros, vea Set-ReceiveConnector (en inglés).

Asimismo, se puede usar la EMC para configurar el conector de recepción mediante los siguientes pasos.

1. En un servidor de transporte perimetral, abra la EMC, haga clic en Transporte perimetral y, a continuación, en el panel de resultados, haga clic en la ficha Conectores de recepción.

2. Seleccione el conector de recepción que acepta correo desde el dominio desde el que desea recibir correo electrónico de dominio seguro, el conector Internet en este caso y, a continuación, haga clic en Propiedades en el panel de acciones.

3. En la ficha Autenticación, seleccione Seguridad de nivel de transporte (TLS) y Habilitar la seguridad de dominio (Autenticación TLS mutua) y, a continuación, haga clic en Aceptar.

Tenga en cuenta que especificar el mecanismo de autenticación como TLS no fuerza TLS en todas las conexiones entrantes.

TLS se forzará en las conexiones de Woodgrove Bank por los siguientes motivos:

• Woodgrove Bank está especificado en el cmdlet Set-TransportConfig en el parámetro TLSReceiveDomainSecureList.

• El parámetro DomainSecureEnabled está establecido en $true, en el conector de recepción.

Otros remitentes que no se enumeran en el parámetro TLSReceiveDomainSecureList en el cmdlet Set-TransportConfig sólo usarán TLS si es compatible con el sistema de envío.

Volver al principio

Paso 5: Probar el flujo de correo seguro de dominio

Tras configurar el correo electrónico de dominio seguro, puede probar la conexión revisando los registros de rendimiento y los registros de protocolo. Los mensajes que se han autenticado correctamente sobre la ruta de flujo de correo de dominio seguro se muestran en Outlook como mensajes de dominio seguro.

Contadores de rendimiento

La función Seguridad de dominio incluye el siguiente conjunto de contadores de rendimiento en Transporte de correo seguro de MSExchange:

• Mensajes recibidos de dominio seguro

• Mensajes enviados de dominio seguro

• Errores de sesión salientes de dominio seguro

Puede crear un nuevo archivo de registro de contadores para flujo de correo seguro de dominio con estos contadores de rendimiento para supervisar el número de mensajes enviados y recibidos así como las sesiones de TLS mutua con error. Para obtener más información acerca de cómo crear y configurar registros de contador, consulte el archivo de ayuda incluido en el complemento MMC Registros y alertas de rendimiento.

Registros de protocolo

Puede revisar los registros de protocolo de envío y recepción para determinar si la negociación de TLS ha tenido éxito.

Para ver los registros de protocolo detallados, debe establecer el nivel de registro de protocolo en Verbose, en los conectores que use su organización para enviar y recibir correo electrónico de dominio seguro. Para ello, el administrador de Contoso ejecuta lo siguiente en ambos servidores de transporte perimetral.

Set-ReceiveConnector Internet -ProtocolLoggingLevel Verbose

Para habilitar el registro de protocolo en el conector de envío, el administrador de Contoso ejecuta lo siguiente en un servidor interno de Exchange o una estación de trabajo de administración. A continuación, el cambio de configuración es replicado a los servidores de transporte perimetral mediante el servicio EdgeSync de Microsoft Exchange.

Set-SendConnector Internet -ProtocolLoggingLevel Verbose

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte los temas Set-ReceiveConnector y Set-SendConnector.

Para obtener más información acerca de cómo ver registros de protocolo, vea Configurar el registro de protocolo (en inglés).

Volver al principio

 © 2010 Microsoft Corporation. Reservados todos los derechos.