Я убежденный сторонник свободного рынка и считаю, что в большинстве его секторов конкуренция между продавцами выгодна покупателям. В компьютерной отрасли наглядный пример тому — аппаратные средства x86, с помощью которых и подготовлена эта статья.

Область, в которой эффект конкуренции стал ощущаться лишь недавно, — рынок сертификатов Secure Sockets Layer (SSL). Получить сертификат SSL можно двумя способами: создать собственный или приобрести в независимом удостоверяющем центре сертификатов (CA). Многие организации успешно работают с собственными, самостоятельно подписанными сертификатами. Например, многие компании используют сертификаты с собственной подписью для макросов Microsoft Office и защиты Web-серверов корпоративных сетей. Выбор собственного сертификата или покупка сертификатов внешних CA, таких как Comodo, GoDaddy.com или VeriSign, зависит от оценки потенциального риска доступа клиентов к службам, обращенным в Internet. Цена сертификатов может меняться в довольно широких пределах; например, Comodo продает 128-разрядный сертификат сервера за 139 долл. в год, а стоимость аналогичного сертификата компании GoDaddy.com — 20 долл. в год. Окончательная цена зависит от надежности сертификата, периода обновления и репутации издателя.

В Exchange сертификаты используются по-разному. Конечно, наиболее распространенное применение — защита доступа к Microsoft Outlook Web Access (OWA). Использовать SSL с OWA в Exchange Server 2003 и более ранних версиях не обязательно, но без сертификата возрастает опасность кражи учетных данных из сети предприятия. Замечу, что для аутентификации на базе форм в Exchange 2003 применение SSL обязательно, иначе успешная аутентификация невозможна. Также можно задействовать сертификаты для SSL-защиты POP, IMAP и Exchange ActiveSync.

Процедура запроса и установки сертификатов довольно проста, хотя нужные знания об Internet Services Manager for Microsoft нелегко приобрести самостоятельно. После установки сертификата остается лишь настроить его для защиты служб Exchange.

В Exchange Server 2007 правила игры существенно изменились, так как эта версия автоматически генерирует и устанавливает собственный набор самостоятельно подписанных сертификатов. Это очень удобно для начинающих (или ленивых) администраторов, поскольку Exchange 2007 OWA автоматически защищен с момента установки серверной роли Client Access. Однако с добавлением новой функции в продукте появились некоторые особенности, о которых необходимо знать администратору. Функциональность Exchange 2007 существенно отличается от Exchange Server 2003, и понимание особенностей новых функций может сыграть важную роль при разработке планов внедрения.

При установке Exchange 2007 продукт автоматически генерирует новый сертификат для использования исключительно с Exchange. Это полный 128-разрядный SSL-совместимый сертификат, но пользователь подписывает его самостоятельно, поэтому он не попадет в доверенный список браузера, мобильного устройства или компьютеров, подключенных к домену, а при попытке использования сетификата с Microsoft Outlook Web Access (OWA) выдается предупреждение о доверии.

Установленный сертификат автоматически назначается для использования с протоколами HTTP, SMTP, IMAP и POP. Моментальное назначение обеспечивает защиту соединений с применением этих протоколов сразу же после развертывания. Например, Exchange отвечает на запросы SMTP Transport Layer Security (TLS), используя как стандартную для Internet команду STARTTLS, так и специфическое для Exchange 2007 расширение X-ANONYMOUSTLS. А моментальная защита OWA достигается путем назначения виртуальному каталогу Exchange сертификата с собственной подписью для серверной роли Client Access в процессе установки.

Манипулировать сертификатами Exchange 2007 можно несколькими способами. Во-первых, команда Get-ExchangeCertificate оболочки Microsoft PowerShell позволяет увидеть свойства сертификата, в том числе роли и протоколы, которым он назначен. По умолчанию при запуске Get-ExchangeCertificate на вновь установленном сервере можно увидеть единственный сертификат со значением all в поле служб. Кроме того, сертификат назначается нескольким виртуальным каталогам Microsoft IIS, в том числе OWA и Exchange ActiveSync.

Наличие столь мощной автоматической защиты — хорошая отправная точка, но как ввести другие сертификаты? Ответ на этот вопрос зависит от обстоятельств. Для служб, предоставляемых через IIS, необходимо использовать стандартный интерфейс Internet Services Manager (ISM), чтобы запрашивать сертификаты и управлять ими. К счастью, ISM облегчает перенос существующих сертификатов в новый сервер Exchange 2007 Client Access при наличии в сертификате экспортируемого закрытого ключа. Если его нет, то удостоверяющий центр позволяет повторно создать ключ, но существуют различные варианты, и не следует надеяться на такую возможность.

Если нужны отдельные сертификаты для других служб Exchange, таких как Autodiscover, то необходимо познакомиться с двумя дополнительными командами: New-ExchangeCertificate и Import-ExchangeCertificate. Первая из них генерирует новые сертификаты с собственной подписью или запросы сертификатов (которые затем можно переслать в тот или иной удостоверяющий центр). После того как сертификат будет возвращен из центра, следует применить Import-ExchangeCertificate (команда принимает входной файл Public-Key Cryptography Standards #12), чтобы связать сертификат, выданный удостоверяющим центром, со службами Exchange.

Планируя размещение сертификатов, следует помнить о некоторых тонкостях. Во-первых, на одном сервере Client Access может размещаться несколько служб. В настоящее время компания Microsoft рекомендует добавить в сертификат лишнее имя субъекта, чтобы выдать сертификат, например autodiscover.robichaux.net и mail.robichaux.net, но дополнительные имена разрешены не во всех удостоверяющих центрах. Во-вторых, можно использовать сертификаты с собственной подписью для внутренних операций, но для служб, обращенных к внешнему миру, таких как TLS-защищенные SMTP, OWA и Exchange ActiveSync, лучше применять сертификаты, выданные независимыми центрами. В частности, в некоторые устройства Windows Mobile 5.0 нелегко загрузить новые сертификаты с собственной подписью, поэтому данное ограничение может повлиять на выбор удостоверяющего центра.

Поделитесь материалом с коллегами и друзьями