Descripción de SSL para el acceso cliente

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-04-06

Nivel de sockets seguros (SSL) es un método para proteger la comunicación entre un cliente y un servidor. Para un equipo que ejecute Microsoft Exchange Server 2007 que tiene la función del servidor Acceso de cliente, SSL se usa para ayudar a ofrecer comunicaciones seguras entre el servidor y los clientes. Los clientes incluyen dispositivos móviles, equipos dentro de la red de una organización y equipos fuera de la red de una organización. Incluyen clientes que tienen conexiones de red privada virtual (VPN) y clientes que no la tienen.

De manera predeterminada, cuando instale Exchange 2007, las comunicaciones del cliente se cifran con SSL cuando usa Microsoft Office Outlook Web Access Microsoft Exchange ActiveSync, y Outlook Anywhere. De manera predeterminada, el protocolo de oficina de correos versión 3 (POP3) y el protocolo de acceso a mensajes de Internet versión 4 rev1 (IMAP4) no están configurados para comunicarse por SSL.

SSL requiere que use certificados digitales. Este tema proporciona una introducción a los diversos tipos de certificados digitales e información acerca de cómo configurar el servidor de acceso de cliente para usar estos tipos de certificados digitales.

Introducción a los certificados digitales

Los certificados digitales son archivos electrónicos que funcionan como una contraseña en línea para comprobar la identidad de un usuario o equipo. Se usan para crear el canal SSL cifrado que se usa para las comunicaciones de clientes. Un certificado es una declaración digital emitida por una entidad de certificación (CA) que garantiza la identidad del poseedor del certificado y permite que las partes se comuniquen de forma segura mediante el cifrado.

Los certificados digitales hacen lo siguiente:

• Dan fe de que sus poseedores (personas, sitios web e incluso recursos de red como enrutadores) son de verdad quien dicen ser.

• Ayudan a proteger los datos que se intercambian en línea contra las manipulaciones o los robos.

Los certificados digitales los emite una CA de confianza tercera o una infraestructura de claves públicas (PKI) Microsoft Windows usando servicios de certificados, o pueden ser autofirmados. Cada tipo de certificado tiene sus ventajas e inconvenientes. Cada tipo de certificado digital está protegido contra las manipulaciones y no se pueden falsificar.

Los certificados se pueden emitir para varios usos. Estos incluyen la autenticación de usuario de web, la autenticación de servidor de web, Extensiones seguras multipropósito al correo de Internet (S/MIME), seguridad del protocolo de Internet (IPsec), Seguridad de nivel de transporte (TLS) y firmas de código.

Un certificado contiene una clave pública y la adjunta con la identidad de la persona, el equipo o el servicio que posee la clave privada correspondiente. Tanto el cliente como el servidor usan las claves públicas y privadas para cifrar los datos antes de transmitirlos a través de la red. Para usuarios, PC y servicios basados en Microsoft Windows, el vínculo en una CA se establece cuando hay una copia del certificado de raíz en el almacén de certificados de raíz de confianza y el certificado contiene una ruta de certificación válida. Para que el certificado sea válido, no debe haber estado revocado y el período de validez no debe haber expirado.

Tipos de certificados

Existen tres tipos principales de certificados digitales: certificados autofirmados, certificados generados por PKI de Windows y certificados de terceros.

Certificados autofirmados

Cuando instala Exchange 2007, se configura automáticamente un certificado autofirmado. Un certificado autofirmado lo firma la aplicación que lo creó. El asunto y el nombre del certificado son iguales. El emisor y el sujeto se definen en el certificado. Un certificado autofirmado permitirá que algunos protocolos de cliente usen SSL para sus comunicaciones. Exchange ActiveSync y Outlook Web Access pueden establecer una conexión SSL usando un certificado autofirmado. Outlook Anywhere no funcionará con un certificado autofirmado. Los certificados autofirmados se deben copiar manualmente al almacén de certificados de raíz de confianza en el equipo cliente o el dispositivo móvil. Cuando un servidor se conecta a un servidor por SSL y el servidor presenta un certificado autofirmado, se pedirá al cliente que compruebe que el certificado lo emitió una autoridad de confianza. El cliente debe confiar explícitamente en la entidad emisora. Si el cliente continúa, las comunicaciones SSL pueden continuar.

Con frecuencia, las organizaciones pequeñas deciden no usar un certificado de terceros o no instalar su propia PKI para emitir certificados debido al gasto que supone, a la falta de experiencia y conocimientos de sus administradores para crear su propia jerarquía de certificados o a ambas razones. El uso de certificados autofirmados tiene un coste mínimo y una configuración muy sencilla. Sin embargo, es mucho más difícil establecer una infraestructura para la administración del ciclo de vida, la renovación, la administración de la confianza y la revocación de los certificados con los certificados autofirmados.

Certificados de infraestructura de clave pública de Windows

El segundo tipo de certificado es un certificado generado por la PKI de Windows. Una PKI es un sistema de certificados digitales, entidades de certificación y entidades de registro (RA) que comprueban y autentican la validez de cada parte implicada en una transacción electrónica mediante el uso de criptografía con claves públicas. Cuando implementa una CA en una organización que usa el servicio de directorio de  Active Directory, usted proporciona una infraestructura para la administración del ciclo de vida, la renovación, la administración de la confianza y la revocación de los certificados. Todo esto, sin embargo, conlleva un coste asociado al tener que implementar servidores e infraestructuras adicionales para crear y administrar los certificados generados por la PKI de Windows.

Los servicios de certificado se requieren para implementar una PKI de Windows y se pueden instalar mediante Agregar o quitar programas en el panel de control. Los Servicios de Certificate Server se pueden instalar en cualquier servidor del dominio.

Si obtiene certificados de una CA conectada al dominio de Windows, puede usarla para solicitar o firmar certificados que emitirá a sus propios servidores o equipos de la red. Esto le permite usar una PKI que parece un proveedor de certificados de terceros, pero con menor coste. A pesar de que estos certificados PKI no se pueden implementar públicamente, a diferencia de otros tipos de certificados, el solicitante comprueba cuando una CA PKI firma el certificado del solicitante con la clave privada. La clave pública de esta CA es parte del certificado. Un servidor que tenga este certificado en el almacén de certificados de raíz de confianza puede usar dicha clave pública para descifrar el certificado del solicitante y autenticarlo.

Los pasos para implementar un certificado generado por PKI se parecen a los necesarios para implementar un certificado autofirmado. Todavía debe instalar una copia del certificado de raíz vinculado desde la PKI al almacén de certificados de raíz de confianza de los PC o dispositivos móviles que desea que puedan establecer una conexión sin SSL en Microsoft Exchange.

Una PKI de Windows permite a las organizaciones que publiquen sus propios certificados. Los clientes pueden solicitar y recibir certificados de una PKI de Windows en la red interna. La PKI de Windows puede renovar o revocar certificados.

Para obtener más información al respecto, consulte los siguientes temas:

• Para obtener más información acerca de los certificados, consulte Public Key Infrastructure para Windows Server 2003 (en inglés).

• Para obtener más información acerca de las prácticas recomendadas para implementar una PKI de Windows, consulte Prácticas recomendadas para la implementación de Microsoft Windows Server 2003 Public Key Infrastructure.

• Para obtener más información acerca de cómo implementar una PKI basada en Windows, consulte la Guía de operaciones PKI de Windows Server 2003.

Certificados de confianza de terceros

Los certificados comerciales o de terceros son certificados generados por una CA externa o comercial, adquiridos para usarlos en sus servidores de red. Uno de los problemas de los certificados autofirmados y basados en PKI es que, debido a que el PC o dispositivo móvil cliente no confía automáticamente en el certificado, se debe asegurar de importarlo en el almacén de certificados raíz de confianza en los dispositivos y los PC clientes. Los certificados comerciales o de terceros no tienen este problema. La mayoría de los certificados de CA comerciales son de confianza porque el certificado ya reside en el almacén de certificados raíz de confianza. Dado que el emisor es de confianza, el certificado también lo es. El uso de certificados de terceros simplifica notablemente la implementación.

Para las organizaciones de mayor tamaño o las que deben implementar certificados de forma pública, el uso de certificados comerciales o de terceros es la mejor solución, a pesar del coste que llevan asociados los certificados. Los certificados comerciales pueden no ser la mejor solución para las organizaciones de pequeño o mediano tamaño, para las que puede preferir usar alguna de las otras opciones de certificados que hay disponibles.

Elección de un tipo de certificado

Al elegir el tipo de certificado a instalar, existen varios factores a considerar. Un certificado debe estar firmado para ser válido. Puede ser autofirmado o firmado por una CA. Un certificado autofirmado tiene limitaciones. Por ejemplo, no todos los dispositivos móviles permiten al usuario instalar un certificado digital en el almacén de de certificados raíz de confianza. La capacidad de instalar certificados en dispositivos móviles depende del fabricante del dispositivo móvil y del operador móvil. Algunos fabricantes y operadores móviles deshabilitan el acceso al almacén de certificados de raíz de confianza. En este caso, no se puede instalar ni un certificado autofirmado ni un certificado de una CA PKI de Windows en el dispositivo móvil.

La mayoría de certificados móviles tienen varios certificados comerciales de terceros de confianza preinstalados. Para proporcionar la mayor experiencia al usuario, implemente la autenticación basada en certificados para Exchange ActiveSync usando dispositivos que ejecuten Windows Mobile 6.0 y un certificado digital de una CA de terceros de confianza.

Información adicional

Para obtener más información al respecto, consulte los siguientes temas:

• Administrar SSL para un servidor de Acceso de cliente

• Cómo configurar certificados de SSL para usar varios nombres de host del servidor Acceso de cliente

• Cómo instalar certificados en un dispositivo con Windows Mobile instalado

• Cómo configurar los directorios virtuales de Outlook Web Access para utilizar SSL