Безопасность сообщений Exchange Server 2003
Установка шаблонов сертификатов Exchange
В Microsoft Exchange 2000 Server нужно было вручную добавлять шаблоны сертификатов Enrollment Agent (Computer), Exchange User и Exchange Signature Only перед установкой сервера управления ключами Key Management Server (KMS). В Exchange Server 2003 KMS больше не используется, и сертификат Users, установленный по умолчанию, имеет следующие функции:
- файловая система шифрования;
- безопасность электронной почты (как подписи, так и шифрование);
- аутентификация клиентов.
Так как "характерные" сертификаты пользователей в настоящее время содержат эти функции, объединенные в один сертификат, вы обнаружите, что конфигурация службы сертификатов в Windows Server 2003 по большей части отвечает всем вашим требованиям, основанным на требованиях ваших пользователей.
Однако в некоторый момент вам понадобится установить дополнительные шаблоны сертификатов, чтобы выпускать сертификаты для других нужд. Это можно легко сделать в оснастке Certificate Authority. Чтобы добавить другой шаблон сертификата к уже имеющимся по умолчанию, щелкните правой кнопкой мыши на папке Certificate Template в оснастке Certification Authority, наведите указатель мыши на пункт New (Добавить) и выберите Certificate Template To Issue (Шаблон для выпуска сертификата). Появится диалоговое окно, показанное на рис. 5.31. В этом окне можно выбрать по умолчанию следующие шаблоны.
- Authenticated Session (Аутентифицированный сеанс).
- СЕР Encryption (Шифрование СЕР).
- Code Signing (Подписывание кода).
- Enrollment Agent (Агент регистрации).
- Exchange Enrollment Agent (offline request) (Агент регистрации Exchange [автономный запрос]).
- Enrollment Agent (Computer) (Агент регистрации [компьютер]).
- Exchange Signature Only (Только подпись Exchange).
- Exchange User (Пользователь Exchange).
- IPSec.
- IPSec (offline) (IPSec [автономно]).
- Router (offline) (Маршрутизатор [автономно]).
- Smartcard Logon (Вход по смарт-карте).
- Smartcard User (Пользователь смарт-карты).
- Trust List Signing (Подписывание с использованием списка доверия).
- User Signature Only (Только подпись пользователя).
Ниже приведены шаблоны по умолчанию, устанавливаемые со службой сертификатов.
- EFS Recovery Agent (Агент восстановления EFS).
- Basic EFS (Базовая EFS).
- Domain Controller (Контроллер домена).
- Web Server (Веб-сервер).
- Computer (Компьютер).
- User (Пользователь).
- Subordinate Certification Authority (Подчиненный центр сертификации).
- Administrator (Администратор).
Работа с локальным хранилищем сертификатов
Работа может осуществляться с сертификатами, установленными на компьютере либо связанными с учетной записью пользователя. Для работы с сертификатами, установленными на компьютере, создайте новую консоль Microsoft Management Console (MMC) и добавьте оснастку Certificates (Сертификаты). Выберите опцию Computer Account (Учетная запись компьютера) в поле выбора оснастки Certificates. После этого выберите свой собственный локальный компьютер или удаленный компьютер. В одной консоли ММС можно создать несколько оснасток, осуществляющих управление всеми сертификатами на всех серверах и/или рабочих станциях в рассматриваемой среде. В больших информационных системах это неприемлемо, однако в некоторых средах данный вариант может оказаться предпочтительным.
На рис. 5.32 показано, что ММС содержит обе установленные оснастки сертификатов - для локального компьютера и текущего пользователя. Обратите внимание, что под оснасткой Certificates - Current User (Сертификаты - текущий пользователь) доступны сертификаты для следующих объектов.
- User (Пользователь).
- Trusted Root Certification authorities (Доверенные корневые центры сертификации).
- Enterprise Trusts (Доверенные объекты организации).
- Intermediate certification authorities (Промежуточные центры сертификации).
- User's AD object (Объект пользователя в AD).
- Trusted publishers (Доверенные издатели).
- Untrusted certificates (Сертификаты без доверия).
- Third-party root certification authorities (Сторонние корневые центры сертификации).
- Trusted People (Доверенные лица).
Рис. 5.32. Консоль ММС с установленными оснастками Certificates для локального компьютера и текущего пользователя
Под каждой из этих папок находится папка сертификата. Если щелкнуть правой кнопкой мыши на этой папке, то отобразятся команды для импортирования, запроса или поиска, соответствующие каждому типу сертификатов. Например, можно запросить новый сертификат для пользователя в папке Personal\Certificates, щелкнув правой кнопкой мыши на этой папке, наведя указатель на пункт New (Новый) и выбрав Request New Certificate (Запросить новый сертификат). А вот в папке Trusted Root Certificate Authorities (Доверенные корневые центры сертификации) при щелчке правой кнопкой мыши на папке Certificates можно импортировать сертификат, однако нельзя запросить новый сертификат. Следовательно, контекстные меню, отображаемые при щелчке правой кнопкой мыши на каждой папке, обозначают тип разрешенных действий.
В данной оснастке имеются мастера экспорта, импорта и запроса сертификатов. Эти мастера помогают лучше и эффективнее осуществлять управление сертификатами. Кроме того, функция Find (Найти) (щелкните правой кнопкой мыши на объекте Certificates [Сертификаты] или на любой папке верхнего уровня) поможет найти сертификат по его атрибуту.
Если щелкнуть правой кнопкой мыши на папке Certificates в папке Personal, можно запросить новый сертификат и запустить мастер запросов. Работая в трех несложных окнах, вы сможете создать новый сертификат для пользователя, представляемого оснасткой. В некотором роде этот способ легче, чем использование веб-форм регистрации, хотя в больших организациях веб-формы регистрации значительно снижают объем задач администрирования, так как пользователи будут создавать и устанавливать свои собственные сертификаты.
При помощи этой оснастки вы можете вырезать и вставлять сертификаты с помощью контекстных меню. Еще одной возможностью консоли является функция автоматической регистрации. С ее помощью запрошенные сертификаты регистрируются автоматически, вместо регистрации вручную каждого сертификата.
Чтобы удостовериться в том, что конкретный сертификат автоматически зарегистрирован при его запросе пользователем, откройте оснастку Certificate Template (Шаблон сертификата). Вам понадобится добавить эту оснастку в имеющуюся консоль либо в новую консоль. После добавления шаблона сертификата в консоль щелкните правой кнопкой мыши на сертификате Users (Пользователи) (это может быть любой сертификат, но сертификат Users наиболее часто настраивается на автоматическую регистрацию) и выполните дублирование шаблона.
Присвойте шаблону новое имя на вкладке General (Общие) (см. рис. 5.33), настройте срок годности, после чего на вкладке Request Handling (Поддержка запросов) выберите опцию Enroll Subject Without Requiring Any User Input (Регистрировать объект без ввода данных пользователем).
Рис. 5.33. Настройка шаблона сертификата пользователя на автоматическую регистрацию пользователя при выполнении запроса на сертификат
Необходимо удостовериться, что к группе безопасности Domain Users (Пользователи домена) на вкладке Security (Безопасность) применено разрешение Autoenroll (Автоматическая регистрация), и что на вкладке General (Общие) отмечена опция Publish Certificate In Active Directory (Публиковать сертификат в Active Directory) (по умолчанию эта опция включена). Затем добавьте сертификат в оснастку Certificate Authority и разрешите пользователям использовать этот сертификат для автоматической регистрации.
Следует знать, что по умолчанию групповая политика в Active Directory 2003 разрешает автоматическую регистрацию (рис. 5.34). Следовательно, в большинстве случаев автоматическая регистрация будет происходить независимо от того, используются ли веб-формы регистрации или оснастка Certificates.