Présentation du protocole SSL pour les serveurs d'accès au client

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-03-23

Le protocole SSL (Secure Sockets Layer) est une méthode permettant de sécuriser les communications entre un client et un serveur. Pour un ordinateur exécutant Microsoft Exchange Server 2007 sur lequel le rôle serveur d'accès au client est installé, le protocole SSL permet de sécuriser les communications entre le serveur et les clients. Les clients peuvent être des périphériques mobiles, des ordinateurs faisant partie du réseau d'une organisation et des ordinateurs extérieurs au réseau d'une organisation. Ceux-ci incluent des clients disposant ou non de connexions réseau privé virtuel (VPN).

Par défaut, lorsque vous installez Exchange 2007, les communications clientes sont chiffrées à l'aide du protocole SSL si vous utilisez Outlook Web Access, Exchange ActiveSync et Outlook Anywhere. Par défaut, les protocoles POP3 (Post Office Protocol version 3) et IMAP4 (Internet Message Access Protocol Version 4rev1) ne sont pas configurés pour communiquer via SSL.

Le protocole SSL requiert l'utilisation de certificats numériques. Cette rubrique donne une vue d'ensemble des différents types de certificats numériques et des informations sur la configuration du serveur d'accès au client pour qu'il utilise ces types de certificats.

Vue d'ensemble des certificats numériques

Les certificats numériques sont des fichiers électroniques fonctionnant comme les mots de passe en ligne permettant de vérifier l'identité d'un utilisateur ou d'un ordinateur. Ils sont utilisés pour créer le canal chiffré SSL utilisé pour les communications clientes. Un certificat est un relevé numérique émis par une autorité de certification (CA) qui authentifie l’identité du détenteur du certificat et permet aux parties de communiquer de manière sécurisée via le chiffrement.

Les certificats numériques effectuent les actions suivantes :

• Ils attestent que leurs détenteurs — personnes, sites Web ou ressources réseau telles que les routeurs — sont véritablement ceux qu’ils prétendent être.

• Ils protègent les données échangées en ligne contre le vol ou la falsification.

Ils peuvent être émis par une autorité de certification tierce approuvée ou un certificat d'infrastructure à clé publique (PKI) Microsoft Windows en utilisant les services de certificats, ou peuvent être auto-signés. Chaque type de certificat présente des avantages et des inconvénients. Aucun type de certificat numérique ne peut être falsifié.

Les certificats sont émis à différentes fins, par exemple l’authentification des utilisateurs Web, l’authentification de serveurs Web, le chiffrement S/MIME, IPsec, TLS (Transport Layer Security) et la signature de code.

Un certificat contient une clé publique qu'il attache à l’identité de la personne, de l’ordinateur ou du service contenant la clé privée correspondante. Les clés publiques et privées permettent au client et au serveur de chiffrer les données avant d'être transmises. Pour les utilisateurs, les ordinateurs et les services basés sur Microsoft Windows, l'approbation d'une autorité de certification est établie lorsqu’il existe une copie du certificat racine dans le magasin de certificats racines approuvés et lorsque le certificat contient un chemin d'accès de certification valide. Pour que le certificat soit valide, il doit avoir été révoqué et ne doit pas être expiré.

Types de certificats

Il existe trois types principaux de certificats numériques : les certificats auto-signés, les certificats générés par l'infrastructure à clé publique Windows et les certificats tiers.

Certificats auto-signés

Lorsque vous installez Exchange 2007, un certificat auto-signé est automatiquement configuré. Un certificat auto-signé est signé par l'application qui l'a créé. L'objet et le nom du certificat correspondent. L'émetteur et l'objet sont définis dans le certificat. Un certificat auto-signé permet à certains protocoles clients d'utiliser une connexion SSL pour leurs communications. Microsoft Exchange ActiveSync et Office Outlook Web Access peuvent établir une connexion SSL à l'aide d'un certificat auto-signé. Outlook Anywehere ne fonctionne pas avec un certificat auto-signé. Les certificats auto-signés doivent être copiés manuellement dans le magasin de certificats racines approuvés sur l'ordinateur client ou le périphérique mobile. Quand un client se connecte à un serveur via une connexion SSL et que le serveur présente un certificat auto-signé, le client est invité à vérifier que le certificat a été émis par une autorité approuvée. Le client doit explicitement approuver l'autorité émettrice. Si le client continue, les communications SSL peuvent continuer.

Souvent, les organisations de petite taille décident de ne pas utiliser de certificat tiers ou d’installer leur propre infrastructure à clé publique pour émettre leurs propres certificats en raison des coûts, du manque d’expérience et d’expertise de leurs administrateurs dans la création de leur propre hiérarchie de certificats, ou pour ces deux raisons. Si vous utilisez des certificats auto-signés, le coût est minimal et l'installation simple. Toutefois, la création d’une infrastructure pour la gestion du cycle de vie, le renouvellement, l'approbation et la révocation des certificats est beaucoup plus difficile avec des certificats auto-signés.

Certificats d'infrastructure à clé publique Windows

Le deuxième type de certificat est le certificat généré par l'infrastructure à clé publique Windows. Une infrastructure à clé publique (PKI) est un système de certificats numériques, d'autorités de certification et d'autorités d'enregistrement qui permet de vérifier et d’authentifier la validité de chaque partie impliquée dans une transaction électronique à l’aide d'un chiffrement à clé publique. Lorsque vous implémentez une autorité de certification au sein d’une organisation utilisant Active Directory, vous fournissez une infrastructure pour la gestion du cycle de vie, le renouvellement, la gestion de l'approbation et la révocation des certificats. Toutefois, le déploiement de serveurs et d'une infrastructure pour la création et la gestion de certificats générés par l'infrastructure à clé publique Windows a un coût.

Des services de certificats sont requis pour le déploiement d'une infrastructure à clé publique Windows, qu'il est possible d'installer à l'aide de la fonctionnalité Ajout/Suppression de programmes du Panneau de configuration. Vous pouvez installer les services de certificats sur tous les serveurs du domaine.

Si vous obtenez des certificats d'une autorité de certification Windows appartenant à un domaine, vous pouvez utiliser l’autorité de certification pour la demande ou la signature de certificats pour vos propres serveurs ou ordinateurs sur votre réseau. Cela vous permet d’utiliser une infrastructure à clé publique qui ressemble à un fournisseur de certificats tiers, mais est plus économique. Bien que ces certificats d'infrastructure à clé publique ne puissent pas être déployés publiquement comme d’autres types de certificats, quand une autorité de certification d'infrastructure à clé publique signe le certificat du demandeur à l’aide de la clé privée, le demandeur est vérifié. La clé publique de cette autorité de certification fait partie du certificat. Un serveur disposant de ce certificat dans le magasin de certificats racines approuvés peut utiliser cette clé publique pou déchiffrer le certificat du demandeur et authentifier celui-ci.

Les étapes de déploiement d'un certificat généré par l'infrastructure à clé publique ressemblent à celles requises pour le déploiement d'un certificat auto-signé. Vous devez encore installer une copie du certificat racine approuvé à partir de l'infrastructure à clé publique dans le magasin de certificats principal approuvé des ordinateurs ou périphériques mobiles dont vous voulez qu'ils puissent établir une connexion SSL à Microsoft Exchange.

Une infrastructure à clé publique Windows permet à des organisations de publier leurs propres certificats. Les clients peuvent demander et recevoir des certificats d'une infrastructure à clé publique Windows sur le réseau interne. L'infrastructure à clé publique Windows peut renouveler ou révoquer des certificats.

Pour plus d'informations, consultez les rubriques suivantes :

• Pour plus d'informations sur les certificats, consultez la rubrique Infrastructure à clé publique pour Windows Server 2003.

• Pour plus d'informations sur les meilleures pratiques concernant l'implémentation d'une infrastructure à clé publique Windows, visitez le site sur les meilleures pratiques pour l'implémentation d'une infrastructure à clé publique Microsoft Windows Server 2003.

• Pour plus d’informations sur la procédure de déploiement d’une infrastructure à clé publique basée sur Windows, consultez le guide des opérations de la clé publique Windows Server 2003.

Certificats tiers approuvés

Les certificats tiers ou commerciaux sont des certificats générés par une autorité de certification tierce ou commerciale puis achetés pour être utilisés sur vos serveurs de réseau. Un problème lié aux certificats auto-signés et basés sur une infrastructure à clé publique est que, comme ils ne sont pas automatiquement approuvés par l'ordinateur client ou le périphérique mobile, vous devez veiller à les importer dans le magasin de certificats racines approuvés sur les ordinateurs et les périphériques clients. Ce problème ne se pose pas pour les certificats tiers ou commerciaux. La plupart des certificats commerciaux d’autorité de certification sont déjà approuvés car le certificat réside déjà dans le magasin de certificats racines approuvés. Dans la mesure où l’émetteur est approuvé, le certificat l’est également. L’utilisation de certificats tiers simplifie considérablement le déploiement.

Pour les organisations de grande taille ou les organisations devant déployer publiquement les certificats, l’utilisation d’un certificat tiers ou commercial est la meilleure solution, même si le certificat a un coût. Les certificats commerciaux peuvent ne pas représenter la meilleure solution pour les petites et moyennes organisations. Vous pouvez donc décider d'utiliser l'une des autres options de certificat disponibles.

Choix d'un type de certificat

Lorsque vous sélectionnez le type de certificat à installer, vous devez considérer plusieurs facteurs. Pour être valide, un certificat doit être signé. Il peut être auto-signé ou signé par une autorité de certification. Un certificat auto-signé a des limites. Par exemple, tous les périphériques mobiles ne permettent pas à un utilisateur d'installer un certificat numérique dans le magasin de certificats racines approuvés. La possibilité d'installer des certificats sur un périphérique mobile dépend du fabricant et de l'opérateur de ce dernier. Certains fabricants et opérateurs désactivent l'accès au magasin de certificats racines approuvés. Dans ce cas, ni un certificat auto-signé, ni un certificat d'une autorité de certification d'infrastructure à clé publique Windows ne peut être installé sur le périphérique mobile.

La plupart des périphériques mobiles ont plusieurs certificats commerciaux tiers approuvés préinstallés. Pour optimiser l'expérience de l'utilisateur, implémentez une authentification basée sur des certificats pour Exchange ActiveSync en utilisant des périphériques exécutant Windows Mobile 6.0 et un certificat numérique d'une autorité de certification tierce approuvée.

Pour plus d'informations

Pour plus d'informations, consultez les rubriques suivantes :

• Gestion du protocole SSL pour un serveur d’accès au client

• Procédure de configuration de certificats SSL pour utiliser plusieurs noms d'hôte de serveur d'accès au client

• Procédure d'installation de certificats sur un périphérique Windows Mobile