Concetti relativi al certificato autofirmato in Exchange 2007
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2009-12-23
Un certificato digitale è un file elettronici che funziona come una password in linea per verificare l'identità di un utente o di un computer. Inoltre, viene utilizzato per creare un canale crittografato mediante SSL che viene usato per le comunicazioni tra un server su cui è in esecuzione Microsoft Exchange e un computer o dispositivo client. Un certificato digitale è una dichiarazione emessa da un'autorità di certificazione (CA, Certification Authority) che si fa garante dell'identità del titolare del certificato e consente di comunicare utilizzando la crittografia.
I certificati digitali eseguono le seguenti operazioni:
Garantiscono che i titolari, ossia persone, siti Web e anche risorse di rete quali i router, siano effettivamente chi o cosa dichiarano di essere.
Servono a proteggere da furti o alterazioni i dati scambiati in linea.
I certificati digitali possono essere rilasciati da una CA di terze parti attendibile o da un'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure) di Microsoft Windows mediante Servizi certificati, oppure possono essere autofirmati. Quando si installa il ruolo del server Accesso client o Messaggistica unificata con Microsoft Exchange Server 2007, viene installato un certificato digitale autofirmato, se non è già presente un certificato digitale. In questo documento viene fornita una panoramica del certificato autofirmato in Exchange 2007 e viene indicato quando è consigliabile o non è consigliabile utilizzarlo.
Per ulteriori informazioni sulla protezione del server Accesso client Exchange 2007, vedere Concetti relativi a SSL per i server Accesso client.
Panoramica del certificato autofirmato
Quando si installa Exchange 2007 con il ruolo del server Accesso client, viene creato un certificato autofirmato. Tale certificato è stato progettato per facilitare le comunicazioni protette tra server Exchange 2007 all'interno di un'organizzazione e forniscono anche un metodo temporaneo di crittografia delle comunicazioni client fino a quando non viene ricevuto e installato un certificato alternativo. Il certificato autofirmato include due voci Nome alternativo soggetto: una per il nome NetBIOS del server Accesso client e una per il nome di dominio completo (FQDN, Fully Qualified Domain Name) del server Accesso client. Sebbene sia possibile utilizzare il certificato autofirmato per crittografare le comunicazioni tra un server Accesso client e altri ruoli del server Exchange Server 2007, non è consigliabile utilizzarlo con applicazioni e dispositivi client. A causa delle limitazioni di un certificato autofirmato, è consigliabile sostituire tale certificato con un certificato attendibile di terze parti o un certificato firmato da una PKI di Windows.
Nota
Un certificato autofirmato viene installato in ogni ruolo del server Exchange 2007 ad eccezione del ruolo del server Cassette postali.
Limitazioni del certificato autofirmato
Nell'elenco riportato di seguito vengono descritte alcune limitazioni del certificato autofirmato.
Data di scadenza: Il certificato autofirmato è valido per un anno a decorrere dalla data di creazione nelle versioni di Exchange 2007 precedenti a Exchange 2007 Service Pack 2 (SP2). I certificati autofirmati sono validi per cinque anni dalla data di creazione in Exchange 2007 SP2 o versioni successive. Quando il certificato scade, è necessario generare manualmente un nuovo certificato autofirmato utilizzando il cmdlet New-ExchangeCertificate.
Outlook via Internet: Il certificato autofirmato non può essere utilizzato con Outlook via Internet. È consigliabile richiedere un certificato a una PKI di Windows o a una terza parte commerciale attendibile, se si utilizza Outlook via Internet.
Exchange ActiveSync: non è possibile utilizzare il certificato autofirmato per crittografare le comunicazioni tra periferiche Microsoft Exchange ActiveSync e il server Exchange. È consigliabile richiedere un certificato a una PKI di Windows o a una terza parte commerciale attendibile per utilizzarlo con Exchange ActiveSync.
Outlook Web Access: gli utenti di Microsoft Outlook Web Access riceveranno un messaggio per informarli che il certificato utilizzato per aiutare la protezione di Outlook Web Access non è attendibile. Questo errore si verifica perché il certificato non è firmato da un'autorità considerata attendibile dal client. Gli utenti potranno ignorare il messaggio e utilizzare il certificato autofirmato per Outlook Web Access. Tuttavia, è consigliabile richiedere un certificato a una PKI di Windows o a una terza parte commerciale attendibile.
Scadenza del certificato
Il certificato autofirmato è valido per un anno dall'installazione del ruolo server Accesso client o per un anno dalla data di creazione nelle versioni di Exchange 2007 precedenti a Exchange 2007 SP2. I certificati autofirmati sono validi per cinque anni dalla data di creazione in Exchange 2007 SP2 o nelle versioni successive. I componenti interni che si basano sui certificati autofirmati predefiniti continuano a funzionare successivamente alla scadenza del certificato autofirmato. Alla scadenza del certificato autofirmato, nel Visualizzatore eventi vengono tuttavia registrati i seguenti eventi:
Tipo evento: Errore |
Origine evento: MSExchangeTransport |
Categoria evento: TransportService |
ID evento: 12014 |
Data: Data |
Ora: Ora |
Utente: N/D |
Computer: Nome_server |
Descrizione: Impossibile trovare un certificato che contenga il nome di dominio Nome_dominio nell'archivio personale nel computer locale. Pertanto, il verbo STARTTLS SMTP non è disponibile per il connettore Server predefinito con il parametro di un nome di dominio completo di FQDN. Se non è specificato il FQDN del connettore verrà usato il FQDN del computer. Verificare la configurazione dei connettori e i certificati installati per assicurarsi che sia presente un certificato con un nome di dominio per tutti i nomi di dominio completi dei connettori. Se il certificato esiste, eseguire Enable-ExchangeCertificate -Services SMTP per accertarsi che il servizio di trasporto di Microsoft Exchange abbia accesso alla chiave di certificato. Per ulteriori informazioni, vedere Guida in linea e supporto tecnico alla pagina https://go.microsoft.com/fwlink/?LinkID=34258. |
Tipo evento: Avviso |
Origine evento: MSExchangeTransport |
Categoria evento: TransportService |
ID evento: 12015 |
Data: Data |
Ora: Ora |
Utente: N/D |
Computer: Nome_server |
Descrizione: Un certificato di trasporto interno è scaduto. Identificazione personale:Thumb_Print_Value Per ulteriori informazioni, vedere Guida in linea e supporto tecnico alla pagina https://go.microsoft.com/fwlink/?LinkID=34258. |
Si consiglia di rinnovare i certificati autofirmati prima della relativa scadenza. È possibile utilizzare Exchange Management Shell per rinnovare il certificato autofirmato clonando il certificato stesso. Per clonare il certificato, utilizzare innanzitutto il cmdlet Get-ExchangeCertificate per ottenere l'identificazione digitale del certificato predefinito corrente per il dominio.
Nota
I seguenti cmdlet devono essere eseguiti dal server Accesso client Exchange 2007 locale e non possono essere eseguiti in modalità remota.
Get-ExchangeCertificate -DomainName CAS01.contoso.com
In Servizi selezionare dal relativo elenco il certificato contenente "W**"**. Ad esempio, selezionare IP.WS. La "W" indica che il certificato è assegnato a IIS.
Quindi eseguire il cmdlet seguente:
Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate
Il nuovo certificato clonato verrà poi contrassegnato con una nuova data di scadenza, che sarà un anno dopo la data in cui è stato eseguito il cmdlet.
Quando è possibile utilizzare il certificato autofirmato
Esistono diversi protocolli e situazioni in cui è possibile utilizzare il certificato autofirmato per crittografare le comunicazioni. Client Outlook appartenenti al dominio possono utilizzare il certificato autofirmato per crittografare messaggi di posta elettronica e il canale di comunicazione tra il client e il server Exchange. Come già ricordato, gli utenti di Outlook Web Access possono anche utilizzare il certificato autofirmato per crittografare canali di comunicazione. È inoltre possibile utilizzare il certificato autofirmato per crittografare le comunicazioni tra server Accesso client in differenti siti del servizio directory di Active Directory. In questo scenario, noto come inoltro CAS-CAS, è necessaria una modifica del Registro di sistema, per un corretto funzionamento.
Utilizzo del certificato autofirmato con client Outlook 2007 appartenenti al dominio
Il certificato autofirmato funziona senza configurazioni aggiuntive per i client Microsoft Office Outlook 2007 appartenenti al dominio. Questi client possono connettersi senza ricevere avvisi di protezione poiché tutti gli URL utilizzati per la connessione al servizio di individuazione automatica fanno riferimento al nome di dominio completo del server Accesso client. Il certificato ha un nome comune associato al nome NetBIOS del server. Il certificato autofirmato include anche il nome di dominio completo dei server come nome DNS aggiuntivo archiviato nel campo del certificato Nome alternativo soggetto. In tal modo ai client appartenenti al dominio è consentito eseguire la connessione al servizio di individuazione automatica senza ricevere avvisi relativi al certificato, poiché il certificato non è scaduto e il nome di dominio completo del server a cui si esegue la connessione è archiviato nel Nome alternativo soggetto del certificato. Sebbene il client non sia in grado di convalidare il certificato autofirmato fino alla radice attendibile, questo errore di convalida è consentito se i client appartenenti al dominio eseguono la connessione al servizio di individuazione automatica utilizzando il certificato autofirmato. Tuttavia, non è consigliabile utilizzare a lungo questo certificato autofirmato, poiché fondamentalmente è stato progettato per venire incontro all'urgenza di ottenere un certificato corretto in modo che i client Outlook 2007 possano iniziare immediatamente a utilizzare funzioni di Exchange 2007.
Utilizzo del certificato autofirmato con la funzionalità di inoltro
È necessario eseguire diversi passaggi per utilizzare senza problemi il certificato autofirmato per crittografare le comunicazioni tra client e server in uno scenario di inoltro. Per ulteriori informazioni sull'inoltro, vedere Concetti relativi all'inoltro e al reinstradamento.
È necessario modificare il Registro di sistema, per supportare l'uso dei certificati autofirmati con l'inoltro. Ai client verrà inviato un avviso quando viene eseguita la connessione al server Exchange 2007 Accesso client, poiché il certificato autofirmato non viene considerato valido dalla maggior parte delle applicazioni client, quali Exchange ActiveSync e Microsoft Office Outlook 2007. Sia in Exchange ActiveSync sia in Outlook Web Access è supportato l'inoltro da un server Accesso client a un altro. Affinché l'inoltro venga eseguito correttamente quando si utilizza un certificato autofirmato, è necessario configurare le seguenti chiavi del Registro di sistema nel server Accesso client con accesso a Internet:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1
HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternallUntrustedCerts = 1
Queste chiavi del Registro di sistema consentiranno al server Accesso client con accesso a Internet di eseguire la connessione a un server Accesso client senza accesso a Internet utilizzando un certificato autofirmato installato in quest'ultimo. Se il server Accesso client con accesso a Internet utilizza un certificato autofirmato per le comunicazioni client, si applicheranno tutte le limitazioni precedentemente citate.
UNRESOLVED_TOKEN_VAL(exRegistry)
Quando non è possibile utilizzare il certificato autofirmato
Sebbene il certificato autofirmato sia supportato per l'utilizzo con client Microsoft Office Outlook 2007 appartenenti al dominio e Outlook Web Access, non è consigliabile utilizzarlo a lungo per scopi diversi dalla crittografia delle comunicazioni tra server Exchange 2007 nell'organizzazione. Per il supporto di molte, se non di tutte le funzionalità di server Accesso client, quali Exchange ActiveSync, Outlook Web Access e Outlook via Internet, è consigliabile richiedere un certificato da una PKI di Windows o una CA di terze parti attendibile e assicurarsi che il certificato venga importato nell'archivio principale attendibile in ogni computer o dispositivo.
Importante
Il certificato autofirmato non è supportato da Outlook via Internet o Exchange ActiveSync.
Ulteriori informazioni
Per ulteriori informazioni su SSL, certificati e Exchange 2007, vedere i seguenti argomenti: