Безопасность сообщений Exchange Server 2003

Инсталляция поддержки веб-регистрации

По умолчанию при инсталляции служб сертификатов Windows Server 2003 на том же сервере устанавливается поддержка веб-регистрации (см. рис. 5.8). Кроме того, можно выбрать установку формы веб-регистрации на другом компьютере, работающем под управлением Windows Server 2003. Это делается при большом объеме трафика для службы сертификатов, если нужно распределить трафик регистрации более чем на один сервер.

Рис. 5.8. Начальная страница веб-регистрации

По умолчанию для страниц веб-регистрации используется местоположение <ducK:>\%windir%\System32\Certsrv,где <диск:> - буквенное обозначение дискового устройства, на котором будут устанавливаться эти страницы. Чтобы установить страницы веб-регистрации на сервере, отличном от сервера, где находится служба сертификации, щелкните на значке Add/Remove Programs в панели управления и выберите Certificate Services, как если бы вы инсталлировали эту службу. Но затем нажмите кнопку Details (Подробно) и отключите опцию Certificate Services (см. рис. 5.9). Проследите за тем, чтобы была включена опция Certificate Services Веб Enrollment Support (Поддержка веб-регистрации для службы сертификации), и нажмите кнопку ОК. Следуйте инструкциям мастера вплоть до завершения.

Использование страниц веб-регистрации

Пользователи получают доступ к страницам веб-регистрации посредством URL http://uMR_cepeepa/certsrv.В первом окне пользователь имеет несколько вариантов выбора. Вариант Download The CA Certificate, Certificate Chain, Or CRL (Считывание сертификата ЦС, цепочки сертификатов или списка отозванных сертификатов [CRL]) позволяет считывать сертификат ЦС или текущий CRL. После выбора этого варианта и щелчка на кнопке ОК появится окно, где пользователь может выполнить несколько задач, в том числе установить доверие к цепочке сертификатов ЦС в хранилище сертификатов на локальном компьютере (см. рис. 5.10). Эта задача заключается в установке пути доступа к сертификату ЦС в хранилище сертификатов на локальном компьютере (см. рис. 5.10). Эта опция наиболее полезна, когда требуется доверие подчиненному ЦС, но сертификат корневого ЦС в вашем локальном хранилище сертификатов отсутствует.

Рис. 5.9. Инсталляция поддержки веб-регистрации на отдельном сервере

Рис. 5.10. Считывание сертификата ЦС

Чаще всего пользователи будут обращаться к этому веб-сайту для получения нового пользовательского сертификата. Чтобы начать этот процесс, пользователю нужно щелкнуть на ссылке Request A Certificate (Запрос сертификата) и нажать кнопку Next. На следующей странице (см. рис. 5.11) пользователь запрашивает стандартный сертификат или выбирает опцию Advanced Request (Расширенный запрос) для получения более сложного сертификата. Информацию по параметрам расширенного запроса см. в следующем разделе.

Рис. 5.11. Запрос нового сертификата

Для запроса нового стандартного пользовательского сертификата выберите опцию User Certificate Request (Запрос пользовательского сертификата) и нажмите кнопку Next. Появится страница User Certificate -Identifying Information (Пользовательский сертификат - идентифицирующая информация) (см. рис. 5.12). Здесь отображается информация о том, что для генерации сертификата ЦС больше не требуется каких-либо данных.

После щелчка на кнопке Submit происходит генерация сертификата. Нажмите Yes (Да) или ОК, когда появятся два окна сообщения, чтобы завершить запрос. На следующей странице поддержки пользователь может установить данный сертификат (см. рис. 5.13).

Рис. 5.12. Сообщение о том, что система готова к отправке запроса на сертификат

Рис. 5.13. Сообщение о том, что система готова установить сертификат

Нажмите кнопку Install This Certificate (Установить этот сертификат) -и данный сертификат будет установлен на локальном компьютере. Этот сертификат доступен только пользователю, для которого он был сгенерирован. Если другие пользователи будут подключаться к данному компьютеру, они не смогут использовать этот сертификат. Затем появится последняя страница регистрации, указывающая, что сертификат установлен правильно. Чтобы проверить, что данный сертификат действительно создан, откройте оснастку Certification Authority и выделите папку Issued Certificates (Выданные сертификаты). Сертификат данного пользователя появится в панели подробной информации (см. рис. 5.14).

Рис. 5.14. Проверка создания пользовательского сертификата

Чтобы проверить, что данный пользовательский сертификат был установлен, откройте клиент Microsoft Outlook 2003, выберите пункт Options (Параметры) из меню Tools (Сервис) и щелкните на вкладке Security (Безопасность) (см. рис. 5.15). В секции Encrypted (Шифрование) нажмите кнопку Settings (Параметры), чтобы открыть окно Change Security Settings (см. рис. 5.16).

Нажмите кнопку Choose (Выбрать) для сертификата подписи (Signing Certificate) и сертификата шифрования (Encryption Certificate), чтобы отобразить, что сертификат установлен в Outlook. Нажмите ОК в окне Select Certificate, чтобы присвоить только что созданный сертификат клиенту Outlook (см. рис. 5.17). На рис. 5.18 показан способ отображения сертификатов на вкладке Security (Безопасность). Алгоритм хэш-функции и алгоритм шифрования могут быть изменены, однако сам сертификат изменить нельзя.

Рис. 5.15. Проверка установки пользовательского сертификата

Рис. 5.16. Выбор сертификата для личного использования

Если установлено несколько различных сертификатов, укажите нужный сертификат посредством нажатия кнопки Choose и выбора нужной опции (см. рис. 5.19). Хотя элементы в этом списке выглядят как несколько копий одного и того же сертификата, это на самом деле не так. Каждый элемент списка представляет собой уникальный сертификат.

Рис. 5.17. Выбор сертификата пользователя для присвоения клиенту Outlook

Рис. 5.18. Сертификат пользователя, присвоенный в клиенте Outlook для шифрования и для цифровых подписей

Рис. 5.19. Выбор сертификата для персонального использования