Функции протокола TLS и связанные термины

  • Статья

Область применения: Exchange Server 2013 г.

Microsoft Exchange Server 2013 содержит административные функции и другие расширения, которые упрощают управление протоколом TLS. Для работы с ними важно знать о некоторых возможностях и функциях, связанных с протоколом TLS. Некоторые термины и понятия относятся к нескольким возможностям, связанным с TLS. В этом разделе приведено краткое описание каждой функции, которое объясняет некоторые различия и значения общих терминов, связанных с протоколом TLS и набором функций безопасности домена.

  • Безопасность транспортного уровня. TLS — это стандартный протокол, который используется для обеспечения безопасного веб-обмена данными в Интернете или интрасетях. Он позволяет клиентам выполнять проверку подлинности серверов, а серверам — проверку подлинности клиентов (при необходимости). Этот протокол также обеспечивает защищенный канал путем шифрования передаваемых данных. Протокол TLS является более последней версией протокола SSL.

  • Взаимная проверка подлинности TLS. Взаимная проверка подлинности TLS отличается от TLS, так как протокол TLS обычно развертывается. Как правило, в процессе развертывания протокол TLS используется только для обеспечения конфиденциальности с помощью шифрования. Между отправителем и получателем не выполняется проверка подлинности. Кроме того, иногда при развертывании TLS выполняется проверка подлинности только принимающего сервера. Это обычно происходит при реализации TLS для HTTP. В таком случае (когда выполняется проверка только принимающего сервера) используется SSL.

    Во время проверки подлинности Mutual TLS каждый сервер проверяет удостоверение другого сервера путем проверки подлинности сертификата, предоставленного другой стороной. В таком случае, если в среде Exchange 2013 от внешних доменов поступают переданные через проверенные соединения сообщения, в Microsoft Outlook отображается значок Защищено на уровне домена.

  • Безопасность домена. Безопасность домена — это набор функций, таких как управление сертификатами, функциональные возможности соединителя и поведение клиента Outlook, который обеспечивает взаимный протокол TLS в качестве управляемой и полезной технологии. Безопасность домена не поддерживается, если исходящая почта маршрутизируется через сервер клиентского доступа Exchange 2013.

  • Оппортунистический TLS. В Exchange 2013 программа установки создает самозаверяющий сертификат. По умолчанию протокол TLS включен. Это позволяет любой системе, отправляющей данные, шифровать входящий сеанс SMTP на Exchange. По умолчанию сервер Exchange 2013 также пытается использовать протокол TLS для всех удаленных подключений.

  • Прямое доверие. По умолчанию весь трафик между пограничными транспортными серверами и серверами почтовых ящиков проходит проверку подлинности и шифруется. В качестве механизма проверки подлинности и шифрования используется Mutual TLS. Вместо проверки X.509 Exchange 2013 использует прямое доверие для проверки подлинности сертификатов. Прямое доверие означает, что наличие сертификата в службах Active Directory или Active Directory облегченного доступа к каталогам (AD LDS) подтверждает его подлинность. Служба каталогов Active Directory считается надежным средством хранения. Если используется прямое доверие, не имеет значения, применяется ли самозаверяющий сертификат или же сертификат, подписанный центром сертификации. Когда пограничный транспортный сервер подписывается в организации Exchange, пограничная подписка издает сертификат пограничного транспортного сервера в Active Directory для его проверки серверами почтовых ящиков. Служба Microsoft Exchange EdgeSync добавляет в службу AD LDS набор сертификатов серверов почтовых ящиков для подтверждения пограничным транспортным сервером.