Функции протокола TLS и связанные термины

 

Применимо к:Exchange Online, Exchange Server 2013

Последнее изменение раздела:2014-06-18

Microsoft Exchange Server 2013 содержит административные функции и другие расширения, которые упрощают управление протоколом TLS. Для работы с ними важно знать о некоторых возможностях и функциях, связанных с протоколом TLS. Некоторые термины и понятия относятся к нескольким возможностям, связанным с TLS. В этом разделе приведено краткое описание каждой функции, которое объясняет некоторые различия и значения общих терминов, связанных с протоколом TLS и набором функций безопасности домена.

  • Протокол TLS.   TLS — это стандартный протокол, предназначенный для создания безопасных веб-соединений в Интернете или интрасетях. Он позволяет клиентам выполнять проверку подлинности серверов, а серверам — проверку подлинности клиентов (при необходимости). Этот протокол также обеспечивает защищенный канал путем шифрования передаваемых данных. Протокол TLS является более последней версией протокола SSL.

  • Mutual TLS.   Проверка подлинности с помощью протокола Mutual TLS отличается от использования TLS, так как в последнем случае обычно выполняется развертывание TLS. Как правило, в процессе развертывания протокол TLS используется только для обеспечения конфиденциальности с помощью шифрования. Между отправителем и получателем не выполняется проверка подлинности. Кроме того, иногда при развертывании TLS выполняется проверка подлинности только принимающего сервера. Это обычно происходит при реализации TLS для HTTP. В таком случае (когда выполняется проверка только принимающего сервера) используется SSL.

    Во время проверки подлинности Mutual TLS каждый сервер проверяет удостоверение другого сервера путем проверки подлинности сертификата, предоставленного другой стороной. В таком случае, если в среде Exchange 2013 от внешних доменов поступают переданные через проверенные соединения сообщения, в Microsoft Outlook отображается значок Защищено на уровне домена.

  • Безопасность домена.   Безопасность домена — это набор возможностей, таких как управление сертификатами, функции соединителей и поведение клиента Outlook, который обеспечивает управляемость и полезность технологии Mutual TLS. Безопасность домена не поддерживается, если исходящие сообщения переадресовываются через сервер клиентского доступа Exchange 2013.

  • Гибкое применение TLS В Exchange 2013 программа установки создает самозаверяющий сертификат. По умолчанию протокол TLS включен. Это позволяет любой системе, отправляющей данные, шифровать входящий сеанс SMTP на Exchange. По умолчанию сервер Exchange 2013 также пытается использовать протокол TLS для всех удаленных подключений.

  • Прямое доверие.   По умолчанию весь трафик между пограничными транспортными серверами и серверами почтовых ящиков проходит проверку подлинности и шифруется. В качестве механизма проверки подлинности и шифрования используется Mutual TLS. Вместо проверки X.509 для проверки подлинности сертификатов в Exchange 2013 используется прямое доверие. Прямое доверие означает, что наличие сертификата в службах Active Directory или Active Directory облегченного доступа к каталогам (AD LDS) подтверждает его подлинность. Служба каталогов Active Directory считается надежным средством хранения. Если используется прямое доверие, не имеет значения, применяется ли самозаверяющий сертификат или же сертификат, подписанный центром сертификации. Когда пограничный транспортный сервер подписывается в организации Exchange, пограничная подписка издает сертификат пограничного транспортного сервера в Active Directory для его проверки серверами почтовых ящиков. Служба Microsoft Exchange EdgeSync добавляет в службу AD LDS набор сертификатов серверов почтовых ящиков для подтверждения пограничным транспортным сервером.

 
Показ: