Cómo configurar Outlook Web Access para utilizar una tarjeta inteligente

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2008-03-19

En este tema se explica cómo utilizar la Consola de mantenimiento de Exchange o el Shell de administración de Exchange y el Administrador de Internet Information Services para configurar Microsoft Office Outlook Web Access para utilizar tarjetas inteligentes para la autenticación del usuario.

Las tarjetas inteligentes son una forma resistente a las manipulaciones y portátil que ayudan a proporcionar soluciones de seguridad para tareas como la autenticación de clientes, las firmas de código y hacer que el correo electrónico sea seguro.

Las tarjetas inteligentes proporcionan las siguientes funciones:

• Almacenamiento resistente a las manipulaciones para proteger claves privadas y otras formas de información personal.

• Aislamiento de los cálculos fundamentales para la seguridad que implican la autenticación, las firmas digitales y el intercambio de claves de otras partes del equipo que no precisan estos datos. Todas estas operaciones se realizan en la tarjeta inteligente.

• Portabilidad de credenciales y otras informaciones privadas entre equipos en el trabajo, en casa o en ruta.

Antes de empezar

La autenticación de tarjetas inteligentes necesita el cifrado del Nivel de sockets seguros (SSL). De manera predeterminada, Outlook Web Access utiliza SSL. Si ha configurado Outlook Web Access para que no necesite SSL y desea que sus usuarios puedan utilizar tarjetas inteligentes, debe volver a configurar Outlook Web Access para que necesite SSL. Consulte Cómo configurar los directorios virtuales de Outlook Web Access para utilizar SSL.

También tendrá que obtener y configurar un certificado de una entidad de certificación (CA). Consulte los siguientes recursos para obtener información acerca de cómo implementar y administrar las tarjetas inteligentes:

• El primer paso es obtener y configurar un certificado de una CA. Para obtener información acerca de cómo obtener y configurar un certificado de una CA, consulte Acceso seguro mediante la Guía de diseño de tarjetas inteligentes (en inglés).

• Para obtener información general de los requisitos utilizando tarjetas inteligentes, consulte Capítulo 4: Uso de tarjetas inteligentes para ayudar a asegurar las cuentas de acceso remoto (en inglés).

• Para obtener vínculos a informaciones sobre cómo utilizar y administrar las tarjetas inteligentes, consulte Cómo utilizar las tarjetas inteligentes (en inglés).

• Puede que tenga que actualizar sus clientes para habilitarlos para el uso de tarjetas inteligentes. Para obtener información detallada acerca de cómo conseguirlo, consulte Descripción de la actualización de software para el Proveedor de servicios de cifrado Base Smart Card (en inglés).

Las tarjetas inteligentes proporcionan un tipo especial de autenticación de certificados. Tras haber comprobado que el servidor de acceso de cliente se ha configurado para que requiera SSL, y tras obtenido y configurado un certificado de una CA, debe configurar el servidor de acceso de cliente para que use la autenticación de certificados.

Para realizar los procedimientos siguientes, se debe delegar en la cuenta la función del servidor Administrador de Exchange y la pertenencia al grupo Administradores local para el servidor de destino.

Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange Server 2007, consulte Consideraciones sobre permisos.

Procedimiento

Para utilizar IIS Manager 6.0 para configurar los directorios virtuales de Outlook Web Access para utilizar autenticación de certificados

1. En el Administrador de IIS, haga clic con el botón secundario en Sitios web y, a continuación, haga clic en Propiedades.

2. En la ficha Seguridad de directorios, compruebe que la casilla Habilitar asignador de servicios de directorio de Windows está activada.

3. Haga clic en Aceptar para cerrar Propiedades de sitios web.

4. Expanda el sitio web donde tenga hospedados sus directorios virtuales de Outlook Web Access. Normalmente están en el sitio web predeterminado. Haga clic con el botón secundario en el directorio virtual de Outlook Web Access que desee configurar para utilizar la autenticación de certificados y, a continuación, haga clic en Propiedades.

5. En la ficha Seguridad de directorios, en Comunicaciones seguras, haga clic en Modificar.

6. En la sección Comunicaciones seguras, seleccione Requerir canal seguro (SSL) si aún no está seleccionado.

   Nota

   Si utiliza un certificado SSL que se ha creado durante la instalación de Microsoft Exchange, recibirá un mensaje de error que indica que el certificado no es de confianza. Asegúrese de que la entidad de certificación (CA) que ha emitido el certificado es de confianza o utilice un certificado SSL emitido por una CA de confianza.

7. En la sección Certificados de cliente, seleccione Requerir certificados de cliente.

8. Seleccione Habilitar asignación de certificado de cliente.

9. Haga clic en Aceptar para guardar los cambios.

Tras la configuración del Administrador de IIS para que utilice la autenticación de certificados, debe deshabilitar todos los métodos de autenticación en los directorios virtuales de Outlook Web Access en Exchange. Puede utilizar la Consola de mantenimiento de Exchange o el Shell de administración de Exchange para hacerlo.

Para utilizar la Consola de administración de Exchange para configurar Outlook Web Access a fin de que no tenga ningún método de autenticación

1. En la Consola de administración de Exchange, haga clic en Configuración de servidores y, a continuación, en Acceso de cliente.

   Nota

   Para habilitar Outlook Web Access con el fin de que acepte un acceso anónimo, debe deshabilitar todos los tipos de autenticación.

2. En la ficha Outlook Web Access, abra las propiedades del directorio virtual que desee configurar para utilizar el acceso anónimo.

3. Haga clic en la ficha Autenticación.

4. Elija Usar uno o varios métodos de autenticación estándar.

5. No seleccione ningún método de autenticación. Si se encuentra seleccionado algún método de autenticación, haga clic en la casilla para anular la selección.

6. Haga clic en Aceptar.

7. Recibirá una advertencia donde se indica que no ha elegido ningún método de autenticación y recibirá instrucciones para que utilice el Shell de administración de Exchange para establecer un método de autenticación. Haga clic en Aceptar para cerrar la advertencia.

8. Reinicie IIS abriendo una ventana de símbolo del sistema y escribiendo el comando iisreset/noforce.

Para utilizar el Shell de administración de Exchange para configurar Outlook Web Access a fin de que no tenga ningún método de autenticación

1. Abra el Shell de administración de Exchange en el servidor de acceso de cliente que hospeda los directorios virtuales de Outlook Web Access que debe configurar.

   Nota

   Para habilitar Outlook Web Access con el fin de que acepte un acceso anónimo, debe deshabilitar todos los tipos de autenticación.

2. Para deshabilitar la autenticación basada en formularios en el directorio virtual /owa y el sitio denominado Sitio web predeterminado, ejecute el comando siguiente.

   Set-owavirtualdirectory -identity "owa (Default Web Site)" -FormsAuthentication:$false
   

3. Para deshabilitar todos los formularios de autenticación estándar en el directorio virtual /owa y el sitio denominado Sitio web predeterminado, ejecute el comando siguiente.

   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
   

4. Cuando se haya deshabilitado el último método activo de autenticación, recibirá una advertencia que le indicará que no se ha especificado ningún método de autenticación para el directorio virtual y le indicará que utilice el cmdlet Set-OwaVirtualDirectory para especificar un método de autenticación. Ignore esta advertencia.

5. Reinicie IIS abriendo una ventana de símbolo del sistema y escribiendo el comando iisreset/noforce.

Para obtener más información acerca de la sintaxis y los parámetros, consulte Set-OwaVirtualDirectory.

Para obtener más información

Para obtener más información acerca de los métodos de autenticación de Outlook Web Access, consulte Administración de la seguridad de Outlook Web Access.