Protezione dei dispositivi mobili ed Exchange 2007

  • Articolo

 

Ultima modifica dell'argomento: 2008-01-23

Microsoft Exchange Server 2007 utilizza Secure Sockets Layer (SSL) per fornire una protezione maggiore tra i client e il server Exchange. Per impostazione predefinita, Exchange ActiveSync, Office Outlook Web Access e Outlook via Internet utilizzano SSL. Se si abilitano POP3 e IMAP4, è possibile configurare SSL anche per tali protocolli.

Per utilizzare SSL con Exchange ActiveSync, è necessario disporre di un certificato SSL sia sul server Accesso client che sul dispositivo mobile che si desidera utilizzare. L'installazione di un certificato SSL nel computer Exchange 2007 su cui è in esecuzione il ruolo del server Accesso client è un processo semplice. Tuttavia, l'installazione di un certificato SSL nel dispositivo mobile è un po' più complessa e non tutti i dispositivi supportano tutti i tipi di certificati. Oltre a utilizzare SSL per crittografare la comunicazione tra il dispositivo mobile e il server Accesso client, è possibile utilizzare un certificato digitale per l'autenticazione basata su certificato con Exchange ActiveSync. In questo articolo sono descritti i passaggi che devono essere eseguiti per utilizzare un certificato SSL per aumentare il livello di protezione della comunicazione di Exchange ActiveSync tra i dispositivi mobili e il server Exchange. Nell'articolo viene inoltre descritta la differenza tra la crittografia che utilizza SSL e la crittografia che utilizza i certificati digitali per l'autenticazione.

Autenticazione basata su certificato e SSL a confronto

Il certificato digitale può essere utilizzato in due modi principali. Il primo consiste nella crittografia del canale di comunicazione tra client e server. Il secondo nell'autenticazione.

Quando un certificato digitale viene utilizzato per crittografare il canale di comunicazione tra client e server, la chiave pubblica dal certificato del server viene utilizzata per crittografare i dati prima che vengano trasmessi. Quando i dati vengono ricevuti dal client, la chiave privata del client viene utilizzata per decrittografare i dati.

L'autenticazione è il processo con cui un client e un server verificano le rispettive identità per la trasmissione di dati. In Exchange 2007, l'autenticazione viene utilizzata per determinare se l'identità di un utente o di un client che desidera comunicare con il server di Exchange corrisponde a quella dichiarata. È possibile utilizzare l'autenticazione per verificare che un dispositivo appartenga a una persona specifica. Per impostazione predefinita, Exchange ActiveSync utilizza l'autenticazione di base. Tuttavia, è possibile modificare il metodo di autenticazione nell'autenticazione basata su certificato modificando il metodo di autenticazione nella directory virtuale di Exchange ActiveSync. Per ulteriori informazioni sull'autenticazione basata su certificato, vedere Scelta di un metodo di autenticazione per ActiveSync.

Installazione di un certificato SSL in un server Accesso client

Per impostazione predefinita, quando si installa il ruolo del server Accesso client in un computer su cui è in esecuzione Exchange 2007, viene creata una directory virtuale per Exchange ActiveSync nel sito Web predefinito IIS (Internet Information Services) nel server Exchange.

La directory virtuale Microsoft-Server-ActiveSync viene automaticamente configurata all'utilizzo di SSL. Si consiglia di non modificare questa impostazione. Per impostazione predefinita, nel server Accesso client è installato un certificato SSL autofirmato. Tuttavia, Exchange ActiveSync non può utilizzare questo certificato autofirmato per crittografare la comunicazione tra un dispositivo mobile e il server Exchange. Prima di poter utilizzare SSL con Exchange ActiveSync, è necessario installare e configurare un certificato basato sull'infrastruttura a chiave pubblica (PKI) di Windows o un certificato di terze parti proveniente da un'Autorità di certificazione disponibile nell'elenco locale.

Come configurare Exchange ActiveSync all'utilizzo di SSL

Gli unici passaggi che devono essere eseguiti sul server Accesso client per consentire l'utilizzo di SSL da parte di Exchange ActiveSync sono quelli necessari per l'installazione di un certificato SSL nel server. Questi passaggi potrebbero variare leggermente a seconda che si utilizzi un certificato di terze parti proveniente da un'Autorità di certificazione disponibile nell'elenco locale oppure un certificato PKI di Windows. Per ulteriori informazioni su come configurare un certificato PKI di Windows o su come ottenere un certificato di terze parti proveniente da un'Autorità di certificazione disponibile nell'elenco locale, vedere Concetti relativi a SSL per i server Accesso client.

Come configurare i client Exchange ActiveSync all'utilizzo di SSL

Oltre a ottenere un certificato PKI di Windows o un certificato di terze parti proveniente da un'Autorità di certificazione disponibile nell'elenco locale, è necessario configurare anche i dispositivi client Exchange ActiveSync all'utilizzo di SSL. Exchange ActiveSync non supporta l'utilizzo di un certificato autofirmato per la connessione a Exchange 2007. Un dispositivo mobile deve essere in grado di convalidare un certificato digitale nell'intera catena. Una catena di certificati consiste di tutti i certificati necessari per certificare l'oggetto identificato dal certificato finale. Sono inclusi il certificato finale, i certificati delle Autorità di certificazione intermedie e il certificato radice. Tutte le Autorità di certificazione intermedie della catena contengono il certificato emesso dall'Autorità di certificazione di un livello superiore. Un certificato autofirmato non può essere convalidato nell'intera catena.

Prima di poter utilizzare un certificato PKI di Windows con Exchange ActiveSync, è necessario disporre di un dispositivo che consenta l'installazione di un certificato digitale nell'archivio certificati personali del dispositivo. Questa funzione è supportata nei dispositivi Windows Mobile 6.0 ma non in altri. Per determinare se il dispositivo supporta l'installazione di certificati, vedere la documentazione del dispositivo.

Si consiglia di utilizzare un certificato di terze parti proveniente da un'Autorità di certificazione disponibile nell'elenco locale per Exchange ActiveSync. Nell'archivio radice attendibile dei dispositivi Windows Mobile sono preinstallati molti dei certificati di terze parti più diffusi provenienti da un'Autorità di certificazione disponibile nell'elenco locale. Se un certificato di terze parti proveniente da un'Autorità di certificazione disponibile nell'elenco locale non è preinstallato nel dispositivo mobile, è necessario determinare se il dispositivo supporta l'installazione di certificati.

Se è necessario installare una copia del certificato SSL nel dispositivo Windows Mobile, eseguire le procedure riportate di seguito.

Per salvare un certificato su un file

  1. In Gestione IIS nel server Accesso client fare clic con il pulsante destro del mouse su Sito Web predefinito o sulla directory virtuale Microsoft-Server-ActiveSync, quindi scegliere Proprietà.

  2. Scegliere la scheda Protezione directory.

  3. In Comunicazioni protette fare clic su Visualizza certificato.

  4. Nella finestra di dialogo Certificato fare clic sulla scheda Dettagli.

  5. Fare clic su Copia su file.

  6. In Esportazione guidata certificati fare clic su Avanti.

  7. Selezionare Non esportare la chiave privata, quindi fare clic su Avanti.

  8. Selezionare X.509 binario codificato DER (.CER), quindi fare clic su Avanti.

  9. Digitare un nome di file, fare clic su Avanti, quindi su Fine.

Una volta salvato il certificato in un file, è possibile installarlo nel dispositivo. La procedura da eseguire per installare il certificato nel dispositivo dipende dal sistema operativo del dispositivo. Scegliere la procedura in base al sistema operativo del dispositivo.

Per utilizzare Centro gestione dispositivi Windows Mobile per installare un certificato in un dispositivo Windows Mobile 5.0 o Windows Mobile 6.0

  1. In Centro gestione dispositivi Windows Mobile fare clic su Gestione file quindi su Sfoglia il contenuto del dispositivo.

  2. Trascinare il file CER creato nella precedente procedura in una cartella del dispositivo.

  3. Nel dispositivo fare clic su Avvia, quindi su Esplora file.

  4. Individuare la cartella selezionata nel passaggio 2.

  5. Aprire il file CER e, quando richiesto, scegliere .

Molti dispositivi Windows Mobile 5.0 implementano un criterio di protezione che impedisce l'installazione diretta dei file dei certificati da un file CER. Se la procedura non viene completata, utilizzare la procedura seguente.

Utilizzare lo strumento SmartPhoneAddCert per installare un certificato in un dispositivo Windows Mobile 5.0

  1. Scaricare lo strumento SmartPhoneAddcert.exe.

    Nota

    Alcuni operatori di servizi mobili forniscono una versione firmata di questo strumento. Se per il dispositivo è disponibile una versione firmata, scaricarla dall'operatore dei servizi mobili.

  2. Eseguire SmartPhoneAddCert.exe ed estrarre il contenuto in una cartella del computer.

  3. Copiare SmartPhoneAddCert.exe nel dispositivo tramite ActiveSync desktop o Centro gestione dispositivi Windows Mobile.

  4. Nel dispositivo creare la cartella Archivio.

  5. Copiare il file CER nella cartella Archivio del dispositivo.

  6. Eseguire SmartPhoneAddCert.exe. Selezionare il file CER copiato nella cartella Archivio per installare il certificato.

Nota

Se si crea un file CAB che include il file CER, è possibile copiare anche il file CAB nel dispositivo ed eseguirlo per installare il certificato.

Ulteriori informazioni

Per ulteriori informazioni sulla procedura di configurazione del dispositivo mobile per la sincronizzazione con Exchange 2007 e per le istruzioni complete relative alla configurazione di SSL per i dispositivi Windows Mobile, vedere Centro gestione dispositivi Windows Mobile.