Concetti relativi a SSL per i server Accesso client

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-03-23

Secure Sockets Layer (SSL) è un metodo per proteggere le comunicazioni tra un client e un server. Per un computer che esegue Microsoft Exchange Server 2007 e nel quale è installato il ruolo del server Accesso client, SSL viene utilizzato per garantire la protezione delle comunicazioni tra il server i client. I client includono i dispositivi mobili, i computer all'interno della rete di un'organizzazione e quelli esterni alla rete, inclusi i client provvisti e sprovvisti di connessioni di rete privata virtuale (VPN, Virtual private Network).

Per impostazione predefinita, se si installa Exchange 2007, le comunicazioni client vengono crittografate utilizzando SSL quando si usa Outlook Web Access, Exchange ActiveSync e Outlook via Internet. Per impostazione predefinita, i protocolli POP3 (Post Office Protocol versione 3) e IMAP4 (Internet Message Access Protocol versione 4 rev1) non sono configurati per la comunicazione tramite SSL.

SSL richiede l'utilizzo dei certificati digitali. In questo argomento viene fornita una panoramica dei vari tipi di certificati digitali e vengono fornite informazioni su come configurare il server Accesso client per utilizzare questi tipi di certificati digitali.

Panoramica dei certificati digitali

I certificati digitali sono file elettronici il cui funzionamento è analogo a quello di una password in linea per la verifica dell'identità di un utente o di un computer. Vengono utilizzati per creare il canale SSL crittografato necessario per le comunicazioni client. Un certificato è una dichiarazione digitale emessa da un'Autorità di certificazione (CA, certification authority) che si fa garante dell'identità del titolare del certificato e consente a terzi di comunicare in modo sicuro utilizzando la crittografia.

I certificati digitali svolgono le seguenti funzioni:

• Garantiscono che i titolari, ossia persone, siti Web e anche risorse di rete quali i router, siano effettivamente chi o cosa dichiarano di essere.

• Proteggono i dati scambiati in linea da furti o alterazioni.

I certificati digitali possono essere emessi da un'Autorità di certificazione (CA) di terze parti attendibile o da un'infrastruttura a chiave pubblica (PKI) di Microsoft Windows utilizzando i Servizi certificati, oppure possono essere autofirmati. Ogni tipo di certificato presenta vantaggi e svantaggi. Ogni tipo di certificato digitale è inalterabile e non può essere contraffatto.

I certificati possono essere emessi per diversi scopi, tra cui l'autenticazione utente Web, l'autenticazione server Web, S/MIME (Secure/Multipurpose Internet Mail Extensions), IPsec (Internet Protocol security), TLS (Transport Layer Security) e la firma del codice.

Un certificato contiene una chiave pubblica che viene associata all'identità della persona, del computer o del servizio che possiede la chiave privata corrispondente. La chiave pubblica e quella privata sono utilizzate dal client e dal server per crittografare i dati prima di trasmetterli. Per gli utenti, i computer e i servizi basati su Microsoft Windows, l'attendibilità di un'Autorità di certificazione (CA) è stabilita quando esiste una copia del certificato radice nell'archivio dei certificati radice disponibili nell'elenco locale e il certificato contiene un percorso di certificazione valido. Per essere valido, il certificato non deve essere stato revocato e il periodo di validità non deve essere scaduto.

Tipi di certificati

Esistono tre tipi principali di certificati digitali: certificati autofirmati, certificati generati da un'infrastruttura a chiave pubblica (PKI) di Windows e certificati di terze parti.

Certificati autofirmati

Quando si installa Exchange 2007, viene configurato automaticamente un certificato autofirmato. Un certificato autofirmato è firmato dall'applicazione da cui è stato creato. L'oggetto e il nome del certificato corrispondono. L'autorità emittente e l'oggetto sono definiti sul certificato. Un certificato autofirmato consentirà ad alcuni protocolli client di utilizzare SSL per le comunicazioni. Microsoft Exchange ActiveSync e Office Outlook Web Access possono stabilire una connessione SSL mediante un certificato autofirmato. Outlook via Internet non funzionerà con un certificato autofirmato. È necessario copiare manualmente i certificati autofirmati nell'archivio certificati radice disponibili nell'elenco locale sul computer client o sul dispositivo mobile. Quando un client esegue la connessione a un server tramite SSL e il server presenta un certificato autofirmato, al client verrà richiesto di verificare che il certificato sia stato emesso da un'autorità disponibile nell'elenco locale. Il client deve considerare esplicitamente attendibile l'autorità emittente. Se il client continua, le comunicazioni SSL possono continuare.

Spesso le organizzazioni di piccole dimensioni decidono di non utilizzare un certificato di terze parti o di installare la propria PKI per emettere i certificati a causa dei costi, perché l'amministratore non possiede l'esperienza e la conoscenza necessarie per creare una gerarchia di certificati o per entrambi i motivi. Quando si utilizzano certificati autofirmati, il costo è minimo e la configurazione è semplice. Tuttavia, stabilire un'infrastruttura per la gestione del ciclo di vita, il rinnovo, la gestione attendibile e la revoca dei certificati è molto più difficile quando si utilizzano i certificati autofirmati.

Certificati dell'infrastruttura a chiave pubblica (PKI) di Windows

Il secondo tipo di certificato è un certificato generato dall'infrastruttura a chiave pubblica (PKI) di Windows. Un'infrastruttura a chiave pubblica (PKI) è un sistema di certificati digitali, di Autorità di certificazione (CA, certification authorities) e di Autorità di registrazione (RA, registration authorities) che verificano e autenticano la validità di ciascuna parte coinvolta in una transazione elettronica, utilizzando la crittografia a chiave pubblica. Quando si implementa una CA in un'organizzazione che utilizza Active Directory, si fornisce un'infrastruttura per la gestione del ciclo di vita, il rinnovo, la gestione attendibile e la revoca dei certificati. Tuttavia, la distribuzione di server e infrastrutture aggiuntivi per creare e gestire questi tipi di certificati generati dall'infrastruttura a chiave pubblica (PKI) di Windows implica dei costi.

I Servizi certificati sono necessari per distribuire un'infrastruttura a chiave pubblica di Windows e possono essere installati mediante l'opzione Installazione applicazioni del Pannello di controllo. È possibile installare Servizi certificati su qualsiasi server nel dominio.

Se si ottengono certificati da una CA di Windows appartenente al dominio, è possibile utilizzarla per richiedere o firmare certificati da emettere sui propri server o computer in rete. Ciò consente di utilizzare un'infrastruttura a chiave pubblica (PKI) simile a un fornitore di certificati di terze parti ma meno costosa. Poiché non è possibile distribuire pubblicamente certificati PKI come altri tipi di certificati, quando un'Autorità di certificazione PKI firma il certificato del richiedente utilizzando la chiave privata, il richiedente viene sottoposto a verifica. La chiave pubblica di questa CA fa parte del certificato. Un server con questo certificato nell'archivio certificati radice disponibili nell'elenco locale può utilizzare la chiave pubblica per decrittografare il certificato del richiedente e autenticarlo.

I passaggi per distribuire un certificato generato dall'infrastruttura a chiave pubblica (PKI) sono simili ai passaggi necessari per la distribuzione di un certificato autofirmato. Per stabilire una connessione SSL a Microsoft Exchange, è ancora necessario installare una copia del certificato radice attendibile dall'infrastruttura con chiave pubblica (PKI) nell'archivio certificati radice disponibili nell'elenco locale computer o dei dispositivi mobili che si desidera abilitare.

Un'infrastruttura a chiave pubblica (PKI) di Windows abilita le organizzazioni alla pubblicazione dei propri certificati. I client possono richiedere e ricevere i certificati da un'infrastruttura a chiave pubblica di Windows sulla rete interna. L'infrastruttura a chiave pubblica di Windows può rinnovare o revocare i certificati.

Per ulteriori informazioni, vedere i seguenti argomenti:

• Per ulteriori informazioni sui certificati, vedere Infrastruttura di chiave pubblica per Windows Server 2003 (informazioni in lingua inglese).

• Per ulteriori informazioni sulle procedure consigliate di implementazione di una infrastruttura a chiave pubblica di Windows, vedereprocedure consigliate di implementazione di una infrastruttura a chiave pubblica di Microsoft Windows Server 2003 (informazioni in lingua inglese).

• Per ulteriori informazioni sulla distribuzione di un'infrastruttura a chiave pubblica (PKI) basata su Windows, vedere Windows Server 2003 PKI Operations Guide (informazioni in lingua inglese).

Certificati di terze parti disponibili nell'elenco locale

I certificati di terze parti o commerciali sono certificati generati da una CA di terze parti o commerciale e acquistati dall'utente per l'utilizzo sui propri server di rete. Poiché i certificati autofirmati e basati su PKI non sono considerati attendibili dal computer client o dal dispositivo mobile, assicurarsi di importare il certificato nell'archivio certificati radice disponibili nell'elenco locale su computer client, server e altri dispositivi. I certificati di terze parti o commerciali non presentano questo problema. La maggior parte dei certificati CA commerciali sono già attendibili perchè il certificato risiede già nell'archivio certificati radice disponibili nell'elenco locale. Poichè l'emittente è attendibile, lo sarà anche il certificato. L'utilizzo di certificati di terze parti semplifica molto la distribuzione.

Per organizzazioni di dimensioni maggiori o per organizzazioni che devono distribuire i certificati pubblicamente, l'utilizzo di un certificato di terze parti o commerciale è la soluzione migliore, anche se esistono dei costi associati al certificato. I certificati commerciali potrebbero non essere la soluzione migliore per organizzazioni di piccole e medie dimensioni e si può decidere di utilizzare le altre opzioni di certificato disponibili.

Scelta del tipo di certificato

Quando si sceglie il tipo di certificato da installare, è necessario considerare diversi fattori. Per essere valido, il certificato deve essere firmato. Il certificato può essere autofirmato o firmato da un'Autorità di certificazione (CA). Un certificato autofirmato presenta dei limiti. Ad esempio, non tutti i dispositivi mobili consentono a un utente di installare un certificato digitale nell'archivio certificati radice disponibili nell'elenco locale. La possibilità di installare certificati su un dispositivo mobile dipende dal produttore del dispositivo mobile e dall'operatore dei servizi mobili. Alcuni produttori e operatori dei servizi mobili disabilitano l'accesso all'archivio certificati radice disponibili nell'elenco locale. In questo caso, sul dispositivo mobile non può essere installato né un certificato autofirmato né un certificato proveniente da un'Autorità di certificazione PKI di Windows .

Nella maggior parte dei dispositivi mobili sono preinstallati diversi certificati commerciali di terze parti disponibili nell'elenco locale. Per ottimizzare le prestazioni, implementare l'autenticazione basata su certificato per Exchange ActiveSync utilizzando dispositivi su cui è in esecuzione Windows Mobile 6.0 e un certificato digitale da parte di un'Autorità di certificazione (CA) di terze parti disponibile nell'elenco locale.

Ulteriori informazioni

Per ulteriori informazioni, vedere i seguenti argomenti:

• Gestione di SSL per un server Accesso client

• Come configurare i certificati SSL per utilizzare più nomi host del server Accesso client

• Come installare certificati in una periferica con tecnologia Windows Mobile