Escolar Documentos
Profissional Documentos
Cultura Documentos
Por padrão, ao instalar o Exchange 2010, as comunicações de clientes são criptografadas com
SSL quando o Microsoft A integração do Outlook Web App, o Exchange ActiveSync e o Outlook
Anywhere são usados. Por padrão, os protocolos POP3 e IMAP4 não estão configurados para se
comunicar por SSL.
O SSL exige que você use certificados digitais. Este tópico resume os diferentes tipos de
certificados digitais e as informações sobre como configurar o servidor de Acesso para Cliente
para usar esses tipos de certificados digitais.
Sumário
Limitações do Cliente
Os certificados digitais:
Autenticam que seus portadores - pessoas, sites e até mesmo recursos de rede, como
roteadores - realmente são quem ou o quê dizem ser.
Protegem dados trocados online contra roubo ou violação.
Os certificados digitais podem ser emitidos por uma CA de terceiros confiável ou uma
infraestrutura de chave pública (PKI) do Microsoft Windows usando Serviços de Certificado, ou
podem ser autoassinados. Cada tipo de certificado tem vantagens e desvantagens. Cada tipo
de certificado digital é inviolável e não pode ser falsificado.
Os certificados podem ser emitidos para vários usos. Entre eles, autenticação de usuário da
Web, autenticação de servidor da Web, S/MIME (Secure/Multipurpose Internet Mail
Extensions), IPsec (Internet Protocol security), protocolo TLS e assinatura de código.
http://technet.microsoft.com/pt-br/library/dd351044(d=printer).aspx 22/12/2011
Noções Básicas Sobre Certificados Digitais e SSL: Ajuda do Exchange 2010 Página 2 de 10
Tipos de Certificados
Há três tipos principais de certificados digitais: certificados autoassinados, certificados
gerados pela infraestrutura de chave pública (PKI) do Windows e certificados de terceiros.
Certificados autoassinados
Ao instalar o Exchange 2010, um certificado autoassinadoinado é configurado
automaticamente. Um certificado autoassinado é assinado pelo aplicativo que o criou. O
assunto e o nome do certificado são correspondentes. O emissor e o assunto são
definidos no certificado. Um certificado autoassinado permite que alguns protocolos de
clientes usem SSL em suas comunicações. O Exchange ActiveSync e o Outlook Web
App podem estabelecer uma conexão SSL usando um certificado autoassinado. O Outlook
Anywhere não funciona com certificados autoassinados. Certificados autoassinados
devem ser copiados manualmente para o armazenamento de certificados raiz confiável
no computador ou dispositivo móvel cliente. Quando um cliente se conecta a um servidor
por SSL e o servidor apresenta um certificado autoassinado, o cliente deve verificar se o
certificado foi emitido por uma autoridade confiável. O cliente deve confiar explicitamente
na autoridade emissora. Se o cliente confirma a confiança, a comunicação SSL pode
continuar.
Se você obtiver certificados de uma CA com domínio vinculado ao Windows, poderá usá-
la para solicitar ou assinar certificados para emitir para seus próprios servidores ou
computadores na rede. Isso permite que você use uma PKI semelhante a um fornecedor
terceirizado de certificados, mas é mais barato. Esses certificados PKI não podem ser
implantados publicamente, ao contrário de outros tipos de certificado. No entanto,
quando um CA de PKI assina o certificado do solicitante usando a chave privada, o
solicitante é verificado. A chave pública dessa CA é parte do certificado. Um servidor que
possui este certificado no armazenamento de certificado raiz confiável pode usar esta
chave pública para descriptografar o certificado do solicitante e autenticar o solicitante.
http://technet.microsoft.com/pt-br/library/dd351044(d=printer).aspx 22/12/2011
Noções Básicas Sobre Certificados Digitais e SSL: Ajuda do Exchange 2010 Página 3 de 10
As etapas para implantar um certificado gerado por PKI são parecidas com as etapas
necessárias para implantar um certificado autoassinado. Ainda é preciso instalar uma
cópia do certificado raiz confiável da PKI no armazenamento de certificado raiz confiável
dos computadores ou dispositivos móveis que devem estabelecer uma conexão SSL com
o Microsoft Exchange.
Uma PKI do Windows permite que organizações publiquem seus próprios certificados.
Clientes podem solicitar e receber certificados de uma PKI do Windows na rede interna. A
PKI do Windows pode renovar ou revogar certificados.
Voltar ao início
"autoassinado" significa que um certificado foi criado e assinado apenas pelo próprio
servidor do Exchange. Como não foi criado e assinado por uma CA confiável, o certificado
http://technet.microsoft.com/pt-br/library/dd351044(d=printer).aspx 22/12/2011
Noções Básicas Sobre Certificados Digitais e SSL: Ajuda do Exchange 2010 Página 4 de 10
padrão autoassinado não será confiável a qualquer software, exceto a outros servidores do
Exchange na mesma organização. O certificado padrão está habilitado para todos os
serviços do Exchange. Ele tem um Nome Alternativo para o Requerente (SAN) que
corresponde ao nome do servidor do Exchange em que está instalado. Também tem uma
lista de SANs que inclui o nome do servidor e o nome de domínio totalmente qualificado
(FQDN) do servidor.
IIS
Todos os serviços do Exchange a seguir usam o mesmo certificado em um dado servidor
do Exchange:
Como apenas um único certificado pode ser associado a um site, e como todos esses
serviços são oferecidos sob um único site por padrão, todos os nomes que os clientes
desses serviços usam devem estar no certificado (ou entrar em um nome curinga no
certificado).
POP/IMAP
Certificados usados para POP ou IMAP podem ser especificados separadamente do
certificado usado para o IIS. No entanto, para simplificar a administração, é
recomendável que você inclua o nome do serviço POP ou IMAP em seu certificado IIS e
use um único certificado para todos esses serviços.
SMTP
Um certificado separado pode ser usado para cada conector de recebimento configurado
em seus servidores de Transporte de Hub ou Transporte de Borda. O certificado deve
incluir o nome que os clientes SMTP (ou outros servidores SMTP) usam para alcançar o
conector. Para simplificar o gerenciamento de certificados, considere incluir todos os
nomes cujo tráfego TLS deve ser suportado em um único certificado.
Federação Live
http://technet.microsoft.com/pt-br/library/dd351044(d=printer).aspx 22/12/2011
Noções Básicas Sobre Certificados Digitais e SSL: Ajuda do Exchange 2010 Página 5 de 10
Unificação de Mensagens
Ao conectar servidores de Unificação de Mensagens do Exchange aos servidores do
Microsoft A integração do Communications Server 2007 R2 ou a gateways SIP de
terceiros ou a um equipamento PBX de telefonia (Central Privada de Comutação
Telefônica), é possível usar um certificado atribuído automaticamente ou confiável de
terceiros para estabelecer sessões protegidas. É possível usar um único certificado em
todos os servidores de Unificação de Mensagens enquanto ele possuir os FQDNs de todos
os servidores de Unificação de Mensagens em sua lista SAN. Ou você terá que gerar um
certificado diferente para cada servidor de Unificação de Mensagens em que o FQDN do
servidor de Unificação de Mensagens esteja presente nas listas de nome comum do
sujeito (CN) ou SAN. A Unificação de Mensagens do Exchange não é compatível com
certificados curinga com o Communications Server 2007 e com o Communications Server
2007 R2.
Voltar ao início
http://technet.microsoft.com/pt-br/library/dd351044(d=printer).aspx 22/12/2011
Noções Básicas Sobre Certificados Digitais e SSL: Ajuda do Exchange 2010 Página 6 de 10
Quando servidores de Acesso para Cliente utilizam o proxy para solicitações, o SSL é usado
para criptografia, mas não para autenticação. Na maioria dos casos, um certificado
autoassinado pode ser usado para o proxying do servidor de Acesso para Cliente. Se sua
organização exige regras de segurança extraordinárias, existe uma chave de configuração que
você pode definir para exigir certificados confiáveis para o proxying do servidor de Acesso
para Cliente. Você pode configurar a chave a seguir, definindo-a como falsa para este cenário:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeOWA\AllowInternal
UntrustedCerts
A edição incorreta do Registro pode causar problemas graves que podem exigir a reinstalação
do sistema operacional. Talvez não seja possível resolver os problemas resultantes da edição
incorreta do Registro. Antes de editar o Registro, faça backup de todos os dados importantes.
Para obter mais informações sobre proxy, consulte Noções básicas de proxy e
3
redirecionamento .
http://technet.microsoft.com/pt-br/library/dd351044(d=printer).aspx 22/12/2011
Noções Básicas Sobre Certificados Digitais e SSL: Ajuda do Exchange 2010 Página 7 de 10
PowerShell Remoto
A autenticação e a criptografia Kerberos são usadas para acesso ao PowerShell Remoto, a
partir do Console de Gerenciamento do Exchange e do Shell de Gerenciamento do
Exchange. Portanto, você não precisa configurar seus certificados SSL para uso com o
PowerShell Remoto.
Voltar ao início
http://technet.microsoft.com/pt-br/library/dd351044(d=printer).aspx 22/12/2011
Noções Básicas Sobre Certificados Digitais e SSL: Ajuda do Exchange 2010 Página 8 de 10
A etapa mais importante para reduzir o número de nomes de host que você deve ter e,
portanto, a complexidade do gerenciamento do seu certificado, é não incluir nomes de host
de servidor individuais nos nomes alternativos para requerente do certificado.
http://technet.microsoft.com/pt-br/library/dd351044(d=printer).aspx 22/12/2011
Noções Básicas Sobre Certificados Digitais e SSL: Ajuda do Exchange 2010 Página 9 de 10
Os nomes de host que devem ser incluídos em seus certificados do Exchange são os nomes
de host usados pelos aplicativos cliente para se conectarem ao Exchange. A seguir, uma
lista de nomes de host típicos que seriam exigidos para uma empresa chamada Contoso:
Voltar ao início
Limitações do Cliente
Vários clientes do Exchange limitam os certificados a que oferecem suporte. Esses clientes e
suas limitações estão resumidos abaixo:
Tabela de Ligações
1
http://technet.microsoft.com/pt-br/library/ee332348.aspx
2
http://technet.microsoft.com/pt-br/library/dd351133.aspx
3
http://technet.microsoft.com/pt-br/library/bb310763.aspx
4
http://technet.microsoft.com/pt-br/library/aa997850.aspx
5
http://go.microsoft.com/fwlink/?linkid=3052&kbid=968858
http://technet.microsoft.com/pt-br/library/dd351044(d=printer).aspx 22/12/2011
Noções Básicas Sobre Certificados Digitais e SSL: Ajuda do Exchange 2010 Página 10 de 10
Conteúdo da Comunidade
http://technet.microsoft.com/pt-br/library/dd351044(d=printer).aspx 22/12/2011