Descripción de SSL para servidores de acceso de cliente

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-03-23

Nivel de sockets seguros (SSL) es un método para proteger la comunicación entre un cliente y un servidor. Para un equipo que ejecute Microsoft Exchange Server 2007 con la función del servidor Acceso de cliente instalada, SSL se usa para ayudar a ofrecer comunicaciones seguras entre el servidor y los clientes. Entre los clientes hay dispositivos móviles, equipos dentro de la red de una organización y equipos fuera de la red de una organización. Y entre ellos, clientes con y sin conexión a red privada virtual (VPN).

De manera predeterminada, cuando instala Exchange 2007, las comunicaciones del cliente se cifran mediante SSL si usa Outlook Web Access, Exchange ActiveSync y Outlook Anywhere. De forma predeterminada, el protocolo de oficina de correos versión 3 (POP3) y el protocolo de acceso a mensajes versión 4 rev1 (IMAP4) no están configurados para la comunicación por SSL.

SSL requiere el uso de certificados digitales. En este tema se proporciona una introducción a los diversos tipos de certificados digitales e información acerca de cómo configurar el servidor de acceso de cliente para poder usar este tipo de certificados digitales.

Introducción a los certificados digitales

Los certificados digitales son archivos electrónicos que funcionan como una contraseña en línea para comprobar la identidad de un usuario o equipo. Se usan para crear el canal cifrado SSL usado en las comunicaciones del cliente. Un certificado es una declaración digital emitida por una entidad de certificación (CA) que garantiza la identidad del poseedor del certificado y permite que las partes se comuniquen de forma segura mediante el cifrado.

Los certificados digitales hacen lo siguiente:

• Dan fe de que sus titulares (personas, sitios web e incluso recursos de red como enrutadores) son de verdad quien dicen ser.

• Protegen los datos que se intercambian en línea contra las manipulaciones o los robos.

Los certificados digitales pueden ser emitidos por una entidad de certificación de terceros o por una infraestructura de clave pública de Microsoft Windows de confianza mediante el uso de los servicios de Certificate Server, o también se pueden autofirmar. Cada tipo de certificado tiene sus ventajas y desventajas. Todos los tipos de certificado digital están protegidos contra las manipulaciones y no se pueden falsificar.

Se pueden emitir certificados para varios usos. Por ejemplo, autenticación de usuario web, autenticación de servidor web, extensiones multipropósito/seguras al correo de Internet (S/MIME), protocolo de seguridad de Internet (IPsec), seguridad de nivel de transporte (TLS) y firmas de código.

Un certificado contiene y vincula una clave pública con la identidad de la persona, el equipo o el servicio que posee la clave privada correspondiente. Tanto el cliente como el servidor usan las claves públicas y privadas para cifrar los datos antes de transmitirlos. Para los usuarios, equipos y servicios que utilicen Microsoft Windows, se establece la confianza en una entidad de certificación cuando hay una copia del certificado de raíz en el almacén de confianza de certificados de raíz y el certificado contiene una ruta de certificación válida. Para que el certificado sea válido, no se tiene que haber revocado y su período de validez no tiene que haber expirado.

Tipos de certificados

Se suelen usar tres tipos de certificados digitales principales: certificados autofirmados, certificados generados por una infraestructura de clave pública (PKI) de Windows y certificados emitidos por terceros.

Certificados autofirmados

Cuando instala Exchange 2007, se configura de manera automática un certificado autofirmado. La aplicación que creó este certificado autofirmado es la que lo firma. El asunto y el nombre del certificado son iguales. El emisor y el asunto se definen en el certificado. Un certificado autofirmado permite a algunos protocolos de cliente usar SSL para sus comunicaciones. Microsoft Exchange ActiveSync y Office Outlook Web Access pueden establecer una conexión SSL mediante un certificado autofirmado. Outlook Anywhere no funciona con un certificado autofirmado. Los certificados autofirmados se tienen que copiar manualmente en el almacén de confianza de certificados de raíz del equipo o dispositivo móvil del cliente. Cuando un cliente se conecta a un servidor mediante SSL y el servidor presenta un certificado autofirmado, se le solicitará al cliente que compruebe que el certificado haya sido emitido por una autoridad de confianza. El cliente debe confiar explícitamente en la entidad de certificación. Si el cliente continúa, se puede seguir con la comunicación SSL.

Con frecuencia, las organizaciones de menor tamaño deciden no usar un certificado de terceros o no instalar su propia PKI para emitir certificados debido al gasto que supone, a la falta de experiencia y conocimientos de sus administradores para crear su propia jerarquía de certificados, o a ambas razones. El uso de certificados autofirmados tiene un costo mínimo y una configuración muy sencilla. Sin embargo, establecer una infraestructura para la administración del ciclo de vida, la renovación, la administración de la confianza y la revocación de los certificados es mucho más difícil con los certificados autofirmados.

Certificados de infraestructura de clave pública de Windows

El segundo tipo de certificado son los certificados generados por una PKI de Windows. Una infraestructura de clave pública (PKI) es un sistema de certificados digitales, entidades de certificación (CA) y entidades de registro (RA), que comprueban y autentican la validez de cada parte implicada en una transacción electrónica mediante el uso de criptografía con claves públicas. Cuando implementa una CA en una organización que usa Active Directory, proporciona una infraestructura para la administración del ciclo de vida, la renovación, la administración de la confianza y la revocación de los certificados. Todo esto, sin embargo, lleva un costo asociado al tener que implementar servidores e infraestructuras adicionales para crear y administrar certificados generados por una PKI de Windows.

Se requieren servicios de Certificate Server para implementar una PKI de Windows y se pueden instalar desde Agregar o quitar programas, en el Panel de control. Los Servicios de Certificate Server se pueden instalar en cualquier servidor del dominio.

Si obtiene certificados de una CA de Windows perteneciente a un dominio, puede usar la CA para solicitar o firmar certificados que emitirá a sus propios servidores o equipos de la red. Esto le permite usar una PKI como si se tratara de un proveedor externo de certificados, pero con menor costo. A pesar de que estos certificados de PKI no se pueden implementar públicamente, a diferencia de otros tipos de certificados, cuando la CA de PKI firma el certificado del solicitante mediante la clave pública, se comprueba el solicitante. La clave pública de esta CA es parte del propio certificado de la CA. Un servidor que tenga este certificado como en el almacén de confianza de certificados de raíz puede usar esa clave pública para autenticar al solicitante y descifrar su certificado.

Los pasos para implementar un certificado generado por PKI se parecen a los que se deben seguir para implementar un certificado autofirmado. Aún tiene que instalar una copia del certificado raíz de confianza desde la PKI al almacén de certificados de raíz de confianza de los equipos o dispositivos móviles con los que quiere establecer una conexión SSL a Microsoft Exchange.

Una PKI de Windows le permite a las organizaciones publicar sus propios certificados. Los clientes pueden solicitar y recibir certificados de una PKI de Windows en la red interna. La PKI de Windows puede renovar o revocar certificados.

Para obtener más información al respecto, consulte los siguientes temas:

• Para obtener más información acerca de los certificados, consulte Infraestructura de clave pública para Windows Server 2003 (en inglés).

• Para obtener más información acerca de las prácticas recomendadas para implementar una infraestructura de clave pública de Windows, consulte Prácticas recomendadas para la implementación de una infraestructura de clave pública de Microsoft Windows Server 2003 (en inglés).

• Para obtener más información acerca de cómo implementar una PKI basada en Windows, vea Guía de operaciones PKI de Windows Server 2003 (en inglés).

Certificados de terceros de confianza

Los certificados comerciales o de terceros son certificados generados por una CA externa o comercial, adquiridos para usarlos en sus servidores de red. Uno de los problemas de los certificados autofirmados o basados en PKI es que, debido a que la confianza del certificado no se realiza de manera automática por el equipo o dispositivo móvil del cliente, debe asegurarse de importarlo en el almacén de certificados raíz de confianza de los dispositivos y los equipos del cliente. Los certificados comerciales o de terceros no tienen este problema. La mayoría de los certificados de CA comerciales son de confianza porque el certificado ya reside en el almacén de certificados raíz de confianza. Dado que el emisor es de confianza, el certificado también lo es. El uso de certificados de terceros simplifica notablemente la implementación.

Para las organizaciones de mayor tamaño o las que deben implementar certificados de forma pública, el uso de certificados comerciales o de terceros es la mejor solución, a pesar del costo que llevan asociado. Los certificados comerciales pueden no ser la mejor solución para las organizaciones de pequeño o mediano tamaño, para las que puede preferir usar alguna de las otras opciones de certificados que hay disponibles.

Elección de un tipo de certificado

En el momento de elegir el tipo de certificado que se va a instalar, se deben tener en cuenta varios factores. El certificado debe estar firmado para ser válido. Se puede autofirmar o lo puede firmar una CA. Un certificado autofirmado tiene algunas limitaciones. Por ejemplo, no todos los dispositivos móviles permiten a un usuario instalar un certificado digital en el almacén de certificados raíz de confianza. La posibilidad de instalar certificados en un dispositivo móvil depende del fabricante del dispositivo móvil y del operador del mismo. Algunos operadores y fabricantes deshabilitan el acceso al almacén de certificados raíz de confianza. En tal caso, no se pueden instalar en el dispositivo móvil ni un certificado autofirmado ni un certificado de una CA de PKI de Windows.

La mayoría de los dispositivos móviles tienen varios certificados comerciales de terceros de confianza preinstalados. Para una óptima experiencia del usuario, implemente autenticaciones basadas en certificados para Exchange ActiveSync mediante dispositivos que ejecuten Mobile 6.0 Windows y un certificado digital de una CA de terceros de confianza.

Información adicional

Para obtener más información al respecto, consulte los siguientes temas:

• Administrar SSL para un servidor de Acceso de cliente

• Cómo configurar certificados de SSL para usar varios nombres de host del servidor Acceso de cliente

• Cómo instalar certificados en un dispositivo con Windows Mobile instalado