Установка сертификата сервера для шифрования TLS

В данном разделе содержатся инструкции по установке сертификата сервера для шифрования TLS для SMTP-сервера Windows Server 2008. Можно потребовать, чтобы все клиенты использовали шифрование TLS для подключения к виртуальному SMTP-серверу. TLS — это протокол, обеспечивающий конфиденциальное и безопасное взаимодействие двух приложений по сети. Протокол TLS обеспечивает шифрование данных и позволяет клиентам выполнять проверку подлинности серверов. Кроме того, при необходимости серверы могут выполнять проверку подлинности клиентов. TLS является более безопасной версией протокола SSL.

Для использования шифрования TLS для виртуального SMTP-сервера необходимо наличие сертификата в доверенном хранилище сертификатов для компьютера с Windows Server 2008, на котором выполняется SMTP-сервер. Сертификат должен быть выпущен для полного доменного имени компьютера. Сертификат, выпущенный для IP-адреса или имени узла, нельзя использовать для шифрования TLS подключений SMTP-сервера. По умолчанию центр сертификации Windows выпускает сертификаты с 128-разрядным шифрованием. Подключающиеся клиенты также должны поддерживать 128-разрядное шифрование, иначе сообщения будут возвращаться с отчетом о недоставке.

Чтобы установить сертификат сервера, выполните одну из указанных ниже процедур. При наличии сетевого центра сертификации, например центра сертификации предприятия Windows Server 2008, сертификат выпускается немедленно. При наличии автономного центра сертификации, например изолированного центра сертификации Windows Server 2008 или стороннего центра сертификации, необходимо запросить сертификат, а затем установить файл сертификата. Если сервер, с которым выполняется взаимодействие, не требует проверки центра сертификации, можно создать самозаверяющий сертификат для транзакций SMTP через TLS. Если требуется проверка центра сертификации, использование самозаверяющего сертификата приведет к сбою согласования TLS.

Порядок действий

Запрос и установка сертификата сервера для шифрования TLS для взаимодействия с виртуальным SMTP-сервером при наличии сетевого центра сертификации

  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в текстовое поле Открыть команду MMC и нажмите клавишу ВВОД. Откроется консоль управления (MMC).

  2. В меню Файл выберите команду Добавить или удалить оснастку.

  3. В меню Доступные оснастки выберите пункт Сертификаты и нажмите кнопку Добавить>. В диалоговом окне Оснастка диспетчера сертификатов установите переключатель учетной записи компьютера и нажмите кнопку Готово. Нажмите кнопку ОК.

  4. Разверните узел Сертификаты (локальный компьютер). Выберите пункт Личные. Щелкните его правой кнопкой мыши и последовательно выберите команды Все задачи и Запросить новый сертификат. Откроется окно мастера подачи заявок на сертификаты.

  5. На странице предварительной подготовки нажмите кнопку Далее.

  6. На странице Запрос сертификатов установите флажок Компьютер. Щелкните значок с двойной угловой скобкой рядом с надписью Подробно и выберите пункт Свойства.

  7. На вкладке Общие введите понятное имя и описание сертификата.

  8. На вкладке Субъект в разделе Имя субъекта выберите в раскрывающемся меню Тип пункт Обычное имя. В поле Значение введите полное доменное имя сервера. Нажмите кнопку Добавить>. В разделе Дополнительное имя выберите в раскрывающемся меню Тип пункт DNS. В поле Значение введите полное доменное имя сервера. Нажмите кнопку Добавить>.

  9. На вкладке Расширения щелкните значок с двойной угловой скобкой рядом с надписью Расширенное использование ключа (политики применения). Убедитесь, что выбран параметр Проверка подлинности сервера.

  10. На вкладке Центр сертификации выберите центр сертификации, который будет использоваться для выпуска сертификата.

  11. Нажмите кнопку ОК, чтобы сохранить изменения и закрыть окно Свойства сертификата.

  12. В диалоговом окне Запрос сертификатов нажмите кнопку Заявка. Чтобы закрыть окно мастера подачи заявок на сертификаты, нажмите кнопку Готово.

Запрос и установка сертификата сервера для шифрования TLS для взаимодействия с виртуальным SMTP-сервером при наличии автономного центра сертификации

  1. Нажмите кнопку Пуск и выберите последовательно пункты Администрирование и Диспетчер служб IIS. Откроется диспетчер служб IIS 7.0.

  2. Выберите узел сервера.

  3. На панели Возможности выберите пункт Сертификаты сервера. На панели Действия выберите ссылку Открытие функции.

  4. На панели Действия выберите ссылку Создать запрос сертификата. Откроется окно мастера запроса на сертификат.

  5. На странице Свойства различающегося имени заполните все поля и нажмите кнопку Далее.

  6. На странице Свойства поставщика служб шифрования убедитесь, что выбран поставщик служб шифрования Microsoft RSA SChannel, а параметр «Длина (бит)» имеет значение 1024. После этого нажмите кнопку Далее.

  7. На странице Имя файла укажите, куда следует сохранить файл, и имя файла. Файл получит расширение TXT. Нажмите кнопку Готово.

  8. Отправьте файл в центр сертификации. Когда администратор выпустит сертификат, он вернет файл с расширением CER.

  9. В диспетчере служб IIS выберите узел сервера. На панели Возможности выберите пункт Сертификаты сервера. На панели Действия выберите ссылку Запрос установки сертификатов.

  10. На странице Ответ центра сертификации введите путь к файлу и имя файла с расширением CER. Кроме того, можно указать местоположение файла, выбрать его и нажать кнопку Открыть. Чтобы установить сертификат, нажмите кнопку ОК.

Создание и установка самозаверяющего сертификата сервера для шифрования TLS для взаимодействия с виртуальным SMTP-сервером

  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в текстовое поле Открыть команду cmd и нажмите клавишу ВВОД. Откроется окно командной оболочки.

  2. Введите указанную ниже команду и нажмите клавишу ВВОД.

    Копировать код
    makecert -r -pe -n "CN=ServerName" -sky exchange -ss my -sr LocalMachine
    
    Примечание.
    Для получения дополнительных сведений об основных параметрах программы makecert.exe введите в командной строке makecert -?, для получения сведений о расширенных параметрах — команду makecert -!.

Проверка правильности установки сертификата и его определения виртуальным SMTP-сервером

  1. Нажмите кнопку Пуск и выберите последовательно пункты Администрирование и Диспетчер служб IIS 6.0. Откроется диспетчер служб IIS 6.0.

  2. Выберите виртуальный SMTP-сервер, щелкните его правой кнопкой мыши и выберите пункт Свойства.

  3. В окне свойств виртуального SMTP-сервера откройте вкладку Доступ. Если сертификат установлен правильно, в разделе Безопасные подключения присутствуют сообщение Найден сертификат TLS со следующим сроком действия: ДД/ММ/ГГГГ и флажок Требовать шифрование TLS.