TLS-Funktionen und die zugehörige Terminologie in Exchange 2010
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2014-06-18
Microsoft Exchange Server 2010 stellt zusätzliche Verwaltungsfunktionen und andere Verbesserungen zur Verfügung, die die Gesamtverwaltung von TLS (Transport Layer Security) optimieren. Wenn Sie mit dieser Funktionalität arbeiten, müssen Sie einiges über TLS-bezogene Funktionen und über die Funktionalität erfahren. Einige Begriffe und Konzepte beziehen sich auf mehrere TLS-spezifische Funktionen. In diesem Thema finden Sie eine kurze Erläuterung der einzelnen Funktionen, die Sie dabei unterstützen soll, einige Unterschiede sowie die allgemeine Terminologie zu verstehen, die sich auf TLS und die Funktionssammlung "Domänensicherheit" bezieht.
Transport Layer Security TLS ist ein Standardprotokoll, das zum Bereitstellen sicherer Webkommunikationsverbindungen im Internet oder in Intranets verwendet wird. Es ermöglicht Clients das Authentifizieren von Servern oder, optional, Servern das Authentifizieren von Clients. Es stellt ferner durch Verschlüsseln der Kommunikation einen sicheren Kanal bereit. TLS ist die aktuellste Version des SSL-Protokolls (Secure Sockets Layer).
Mutual TLS Die Mutual TLS-Authentifizierung (MTLS) unterscheidet sich in der Bereitstellung von TLS. Bei der Bereitstellung von TLS wird das Protokoll normalerweise nur dazu verwendet, Vertraulichkeit in Form von Verschlüsselung zu bieten. Zwischen dem Absender und dem Empfänger findet keine Authentifizierung statt. Neben dieser Art von Bereitstellung findet bei der Implementierung von TLS manchmal nur eine Authentifizierung des empfangenden Servers statt. Diese Bereitstellung von TLS ist für die HTTP-Implementierung von TLS typisch. Diese Implementierung, bei der nur der empfangende Server authentifiziert wird, ist SSL.
Bei der MTLS-Authentifizierung prüft jeder Server die Identität des jeweils anderen Servers, indem er dessen Zertifikat überprüft. In diesem Szenario, in dem Nachrichten von externen Domänen über überprüfte Verbindungen in einer Exchange 2010-Umgebung eingehen, zeigt Microsoft Outlook das Symbol für eine gesicherte Domäne an.
Domänensicherheit Domänensicherheit ist eine Funktionssammlung, die z. B. aus Zertifikatverwaltung, Connectorfunktionen und Outlook-Clientverhalten besteht. Sie ermöglicht MTLS als verwaltbare und sinnvolle Technologie.
Opportunistische TLS In Exchange 2010 erstellt das Setup ein selbstsigniertes Zertifikat. TLS ist standardmäßig aktiviert. Dadurch kann jedes sendende System die bei Exchange eingehende SMTP-Sitzung verschlüsseln. Standardmäßig versucht Exchange 2010, TLS auch für alle Remoteverbindungen zu verwenden.
Direkte Vertrauensstellung Der gesamte Verkehr zwischen Edge-Transport-Servern und Hub-Transport-Servern wird standardmäßig authentifiziert und verschlüsselt. Der zugrundeliegende Mechanismus für Authentifizierung und Verschlüsselung ist auch hier MTLS. Anstelle der X.509-Gültigkeitsprüfung verwenden Exchange 2010-Benutzer direkte Vertrauensstellungen zum Authentifizieren der Zertifikate. "Direkte Vertrauensstellung" bedeutet, dass das Vorhandensein des Zertifikats in Active Directory oder AD LDS (Active Directory Lightweight Directory Services) die Gültigkeit des Zertifikats bezeugt. Active Directory wird als vertrauenswürdiger Speichermechanismus angesehen. Wenn die direkte Vertrauensstellung verwendet wird, ist es nicht von Bedeutung, ob das Zertifikat selbstsigniert oder von einer Zertifizierungsstelle signiert ist. Wenn Sie einen Edge-Transport-Server für eine Exchange-Organisation abonnieren, veröffentlicht das Edge-Abonnement das Edge-Transport-Serverzertifikat für die Überprüfung durch die Hub-Transport-Server in Active Directory. Der Microsoft Exchange-EdgeSync-Dienst aktualisiert AD LDS mit dem Satz von Hub-Transport-Serverzertifikaten, damit diese vom Edge-Transport-Server überprüft werden können.
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.