Функции TLS и соответствующая терминология в Exchange 2010

  • Статья

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2014-06-18

Microsoft Exchange Server 2010 содержит административные функции и другие расширения, которые упрощают управление протоколом TLS. Для работы с ними важно знать о некоторых возможностях и функциях, связанных с протоколом TLS. Некоторые термины и понятия относятся к нескольким возможностям, связанным с TLS. В этом разделе приведено краткое описание каждой функции, которое объясняет некоторые различия и значения общих терминов, связанных с протоколом TLS и набором функций безопасности домена.

  • Протокол TLS. TLS — это стандартный протокол, предназначенный для создания безопасных веб-соединений в Интернете или интрасетях. Он позволяет клиентам выполнять проверку подлинности серверов, а серверам — проверку подлинности клиентов (при необходимости). Этот протокол также обеспечивает защищенный канал путем шифрования передаваемых данных. Протокол TLS является более последней версией протокола SSL.

  • Mutual TLS.   Проверка подлинности с помощью протокола Mutual TLS отличается от использования TLS, так как в последнем случае обычно выполняется развертывание TLS. Как правило, в процессе развертывания протокол TLS используется только для обеспечения конфиденциальности с помощью шифрования. Между отправителем и получателем не выполняется проверка подлинности. Кроме того, иногда при развертывании TLS выполняется проверка подлинности только принимающего сервера. Это обычно происходит при реализации TLS для HTTP. В таком случае (когда выполняется проверка только принимающего сервера) используется SSL.

    Во время проверки подлинности Mutual TLS каждый сервер проверяет удостоверение другого сервера путем проверки подлинности сертификата, предоставленного другой стороной. В этом случае, если в среде Exchange 2010 от внешних доменов поступают переданные через проверенные соединения сообщения, в Microsoft Outlook отображается значок «Защищено на уровне домена».

  • Безопасность домена.   Безопасность домена — это набор возможностей, таких как управление сертификатами, функции соединителей и поведение клиента Outlook, который обеспечивает управляемость и полезность технологии Mutual TLS.

  • Гибкий TLS. В Exchange 2010 программа установки создает самозаверяющий сертификат. По умолчанию протокол TLS включен. Это позволяет любой отправляющей системе шифровать входящий в Exchange сеанс SMTP. По умолчанию сервер Exchange 2010 также пытается использовать протокол TLS для всех удаленных подключений.

  • Прямое доверие. По умолчанию весь трафик между пограничными транспортными серверами и транспортными серверами-концентраторами проходит проверку подлинности и шифруется. В качестве механизма проверки подлинности и шифрования используется Mutual TLS. Вместо проверки X.509 для проверки подлинности сертификатов в Exchange 2010 используется прямое доверие. Прямое доверие означает, что наличие сертификата в службе каталогов Служба каталогов Active Directory или службах Служба каталогов Active Directory облегченного доступа к каталогам (AD LDS) подтверждает подлинность сертификата. Использование службы Служба каталогов Active Directory считается доверенным механизмом хранения. Если используется прямое доверие, не имеет значения, применяется ли самозаверяющий сертификат или же сертификат, подписанный центром сертификации. При подписке пограничного транспортного сервера на организацию Exchange пограничная подписка публикует сертификат пограничного транспортного сервера в Служба каталогов Active Directory, чтобы транспортные серверы-концентраторы могли его проверять. Служба Microsoft Exchange EdgeSync добавляет в службы Active Directory облегченного доступа к каталогам (AD LDS) набор сертификатов транспортного сервера-концентратора, чтобы пограничный транспортный сервер проверил их.

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.