Hướng dẫn Exchange Server TLS, phần 1: chuẩn bị sẵn sàng cho TLS 1,2
Cập Nhật: với Office 365 hạn chót có TLS 1,2 cho phép được di chuyển từ tháng 2018 đến tháng 10 2018 chúng tôi đã thay đổi thời gian của các bản phát hành bài tiếp theo; Xin vui lòng xem dưới đây!
Contents
Tổng quan về
Theo lĩnh vực an ninh trong công nghệ tiếp tục phát triển theo thời gian, mỗi như vậy thường chúng tôi chào hỏi đến phiên bản mới hơn và có thẩm quyền hơn của công nghệ trong khi nói lời tạm biệt với anh chị em ruột của họ. Bởi thời gian bạn đang đọc bài viết này bạn có thể đã học Office 365 dự định ngừng chấp nhận kết nối mạng đến nếu họ đang sử dụng phiên bản giao thức TLS trước TLS 1,2, và bắt đầu tự hỏi làm thế nào điều này có thể ảnh hưởng đến triển khai tại chỗ của bạn của Exchange Máy chủ. Để rõ ràng, điều này không có nghĩa là triển khai tại chỗ của bạn phải vô hiệu hóa TLS 1.0/1.1 do sự thay đổi của Office 365 thời gian diễn ra. Nó chỉ có nghĩa là TLS 1,2 phải được kích hoạt và sử dụng khi giao tiếp với Office 365. Hôm nay, trong phần 1 của loạt bài này, chúng tôi sẽ cung cấp cho bạn những thông tin cần thiết để chuẩn bị môi trường của bạn để sử dụng TLS 1,2, cũng như, những gì các kế hoạch của chúng tôi trong vài tuần tới. Phần 1: blog này. Những gì bạn cần sẵn sàng cho TLS 1,2 đang được kích hoạt.
ETA: hiện nay, mà bây giờ là quá khứ
Phần 2: bật và xác nhận TLS 1,2 hoạt động trong triển khai Exchange Server được hỗ trợ.
Phần 3: vô hiệu hoá TLS 1,0 và TLS 1,1 cũng như cách chạy TLS 1,2 chỉ Exchange Server triển khai phù hợp với cấu hình Office 365.
Ngoài các văn phòng 365 thông báo, chúng tôi biết có những khách hàng quan tâm đến chủ đề này do PCI DSS 3,1 mà hiện nay có một ngày có hiệu lực ngày 30 tháng 6, 2018. Chúng tôi đang nhìn thấy một uptick trong yêu cầu hướng dẫn liên quan đến ngày này và muốn đảm bảo với bạn chúng tôi có hướng dẫn.
Giao thức và thành phần
TLS so với SSL
Trước khi đi xa hơn, chúng ta hãy dành một chút thời gian để làm rõ TLS và SSL trong trường hợp họ là những thuật ngữ không quen thuộc. Trong thế giới của máy chủ Exchange, nó không phải là không phổ biến để suy nghĩ của giao thức TLS (Transport Layer Security) như đang được tham gia trong quá trình gửi thư (“Transport” loại chỉ ra rằng). Đối với giao thức SSL (Secure Socket Layer), chúng tôi thường nói chuyện với nó khi lập kế hoạch cho không tên khách hàng và đảm bảo chúng tôi có thể sử dụng HTTPS cho một phiên HTTP an toàn. Ví dụ: trong quá trình triển khai một tổ chức Exchange mới bạn có thể nghe thấy, “bạn đã nhận được chứng chỉ SSL cho không gian tên Exchange mới?” S trong HTTPS không đứng cho SSL, nó là viết tắt của Secure. Điều gì thực sự cần được yêu cầu trong ví dụ SSL trên là “bạn đã nhận được chứng chỉ để cho phép HTTPS cho không gian tên Exchange mới?” như HTTPS có thể (và nên) sử dụng giao thức dựa trên TLS những ngày này chứ không phải là một giao thức SSL cũ hơn. TLS có thể được coi là người kế nhiệm SSL và có thể được sử dụng bất cứ nơi nào hai hệ thống phải trao đổi thông tin qua một phiên mạng được mã hóa. Windows dev Trung tâm thực hiện một công việc tốt đẹp của tóm tắt này cho chúng tôi ở đây và ở đây.
Các thành phần bổ sung
Ngoài các giao thức TLS và SSL, có rất nhiều điều khoản khác mà có thể hữu ích để trang trải, mà sẽ trở nên quan trọng hơn trong các phân đoạn sau của loạt blog này.
SCHANNEL
Microsoft Exchange Server dựa trên nhà cung cấp hỗ trợ bảo mật kênh an toàn (SCHANNEL), là một cấu phần Windows được sử dụng để cung cấp danh tính và một số trường hợp xác thực để cho phép an toàn, truyền thông riêng tư thông qua mã hoá. Một trong những vai trò của SCHANNEL là thực hiện các phiên bản giao thức SSL/TLS được sử dụng trong máy khách/máy chủ thông tin trao đổi. SCHANNEL cũng đóng một phần trong việc xác định những gì mật mã được sử dụng.
Mã bộ
Mật mã lựa chọn, ngoài các giao thức encryption (TLS/SSL) được sử dụng để thực hiện trao đổi thông tin, là một phần quan trọng của câu đố tổng thể. Mã bộ là một tập hợp các thuật toán được sử dụng để xác định làm thế nào thông tin trao đổi giữa hai hệ thống sẽ được mã hóa cho khoá Exchange, số lượng lớn và xác thực thông báo. Như một người có thể mong đợi, các phiên bản khác nhau của Windows đã hỗ trợ một danh sách không ngừng phát triển các bộ mã được tạo thành từ các thế mạnh khác nhau trong suốt quá trình ra mắt. Nếu bạn là khách hàng quen với việc cấu hình ứng dụng chỉ sử dụng các thuật toán tuân thủ tiêu chuẩn xử lý thông tin liên bang (FIPS), sau đó mã bộ không có gì mới cho bạn.
WinHTTP
Một số cấu phần của Microsoft Exchange Server dựa trên dịch vụ Microsoft Windows HTTP (WinHTTP). WinHTTP cung cấp một giao diện máy chủ hỗ trợ, cấp cao cho HTTP/1.1 giao thức Internet. WinHTTP cho phép Exchange để lấy mức mật mã hoá hỗ trợ, chỉ định giao thức bảo mật và tương tác với máy chủ và chứng chỉ máy khách khi thiết lập kết nối HTTPS.
.NET
Cuối cùng, nhưng chắc chắn không kém, là Microsoft .NET Framework. .NET là một môi trường thực hiện quản lý bao gồm một thời gian chạy ngôn ngữ chung (CLR) được sử dụng như một công cụ thực hiện và thư viện lớp cung cấp mã tái tạo; phần lớn các mã tạo ra Exchange Server được viết cho .NET Framework. Với việc phát hành Exchange Server 2013, chúng tôi tham chiếu đến kho thông tin bây giờ là “quản lý mã” hoặc “quản lý lưu trữ” là do viết lại hoàn toàn bằng cách sử dụng .NET Framework. Cài đặt .NET chính nó có thể ảnh hưởng đến cách giao thức khác nhau được sử dụng khi ứng dụng trao đổi thông tin với các hệ thống khác. Có nhiều thành phần Exchange Server phụ thuộc vào đúng cách thực hiện tất cả khả năng mã hóa của nó. Hiểu được những thành phần đó là gì và làm thế nào mọi thành phần phải align khi điều chỉnh các thiết lập mật mã sẽ giúp bạn hiểu rõ hơn về tác động của Exchange Server khi những thay đổi đó được thực hiện. Với những làm rõ trên đường đi cho chúng tôi tiếp tục di chuyển trên.
Làm thế nào để chuẩn bị
Nếu bạn muốn chuẩn bị môi trường Exchange cho hướng dẫn cấu hình TLS 1,2 sắp tới, vui lòng sắp xếp bản thân bằng cách kiểm tra việc triển khai hiện tại của bạn so với các yêu cầu bên dưới. Không có hướng dẫn sẽ được cung cấp cho các phiên bản của Exchange hoặc Windows sớm hơn những gì được liệt kê dưới đây. Bằng việc đảm bảo bạn đã sẵn sàng cho hướng dẫn cấu hình TLS 1,2, bạn sẽ giảm thiểu số lượng hoạt động để cho phép TLS 1,2 trong môi trường của bạn. Bất kỳ bản Cập Nhật được gọi là ‘ hiện tại ‘ là như của các xuất bản của bài viết này và có thể không còn đúng trong tương lai.
Phiên bản Exchange Server
Máy chủ Exchange 2016
- Cài đặt bản Cập Nhật tích luỹ (CU) 8 trong sản xuất hỗ trợ TLS 1,2 và sẵn sàng nâng cấp lên CU9 sau khi phát hành nếu bạn cần vô hiệu hoá TLS 1,0 và TLS 1,1.
- Cài đặt phiên bản .NET mới nhất và các đắp vá liên quan được hỗ trợ bởi CU của bạn (hiện tại là 4.7.1).
Máy chủ Exchange 2013
- Cài đặt CU19 trong sản xuất hỗ trợ TLS 1,2 và sẵn sàng nâng cấp lên CU20 sau khi phát hành nếu bạn cần vô hiệu hoá TLS 1,0 và TLS 1,1.
- Cài đặt phiên bản .NET mới nhất và các đắp vá liên quan được hỗ trợ bởi CU của bạn (hiện tại là 4.7.1).
Máy chủ Exchange 2010
- Cài đặt SP3 RU19 trong sản xuất ngày hôm nay để hỗ trợ TLS 1,2 và sẵn sàng nâng cấp lên SP3 RU20 trong sản xuất sau khi phát hành nếu bạn cần vô hiệu hóa TLS 1,0 và TLS 1,1.
- Cài đặt phiên bản mới nhất của .NET 3.5.1 và Patches.
Exchange Server Phiên bản cũ hơn 2010
- Ngoài hỗ trợ. Không có đường dẫn về phía trước và bạn nên lập kế hoạch di chuyển sang Exchange Online hoặc phiên bản hiện đại của Exchange Server tại chỗ.
Như mọi khi, bạn có thể tham khảo ma trận khả năng hỗ trợ Exchange nếu bạn cần thông tin liên quan đến những kết hợp của Exchange, Windows và .NET Framework có thể hoạt động với nhau.
Phiên bản Windows Server
Bạn không thể có một máy chủ Exchange mà không cần Windows Server, vì vậy đừng quên để đảm bảo rằng bạn đang ở một nơi tốt ở cấp độ hệ điều hành để hỗ trợ bằng cách sử dụng TLS 1,2. Nhiều SCHANNEL, WinHTTP, và. NET Framework Cập Nhật yêu cầu thay đổi đăng ký để trở nên hiệu quả. Sau khi xác nhận các bản Cập Nhật dưới đây được cài đặt, xin vui lòng không thực hiện bất kỳ thay đổi đăng ký, trừ khi bạn đã có cài đặt tuỳ chỉnh, bạn phải sử dụng. Chúng tôi sẽ bao gồm các thay đổi đăng ký cho các bản Cập Nhật trong phần tiếp theo của loạt bài này.
Windows Server 2016
- TLS 1,2 là giao thức bảo mật mặc định cho SCHANNEL và tiêu thụ bởi WinHTTP.
- Đảm bảo bạn đã cài đặt bản Cập Nhật chất lượng hàng tháng gần đây nhất cùng với bất kỳ bản cập nhật Windows nào khác được cung cấp.
Windows Server 2012 R2
- TLS 1,2 là giao thức bảo mật mặc định cho SCHANNEL và tiêu thụ bởi WinHTTP
- Đảm bảo máy chủ của bạn là hiện tại trên Windows Updates.
- Điều này sẽ bao gồm bản Cập Nhật bảo mật KB3161949 cho phiên bản hiện tại của WinHTTP.
- Nếu bạn dựa vào chứng chỉ SHA512; vui lòng xem KB2973337.
Windows Server 2012
- TLS 1,2 là giao thức bảo mật mặc định cho SCHANNEL.
- Đảm bảo máy chủ của bạn là hiện tại trên Windows Updates.
- Điều này sẽ bao gồm bản Cập Nhật bảo mật KB3161949 cho phiên bản hiện tại của WinHTTP.
- Nếu bạn dựa vào chứng chỉ SHA512; vui lòng xem KB2973337.
- Exchange 2010 cài đặt chỉ: cài đặt 3154519 cho .NET Framework 3.5.1.
Windows Server 2008 R2 SP1
- TLS 1,2 được hỗ trợ bởi hệ điều hành nhưng bị tắt theo mặc định.
- Đảm bảo máy chủ của bạn hiện thời trên các bản cập nhật Windows.
- Điều này sẽ bao gồm bản Cập Nhật bảo mật KB3161949 cho phiên bản hiện tại của WinHTTP.
- Điều này sẽ bao gồm tuỳ chọn được khuyến nghị Cập Nhật KB3080079 thêm khả năng TLS 1,2 dịch vụ máy tính để bàn từ xa nếu bạn muốn kết nối với 2008 R2 SP1 dựa trên máy chủ Exchange qua máy tính để bàn từ xa. Cũng cài đặt bản cập nhật này trên bất kỳ máy Windows 7 bạn có ý định kết nối từ.
- Nếu bạn dựa vào chứng chỉ SHA512; vui lòng xem KB2973337.
- Exchange 2010 cài đặt chỉ: cài đặt 3154518 cho .NET Framework 3.5.1.
Windows Server 2008 SP2
- TLS 1,2 không được hỗ trợ theo mặc định.
- Đảm bảo máy chủ của bạn hiện thời trên các bản cập nhật Windows.
- Nếu bạn dựa vào chứng chỉ SHA512; vui lòng xem KB2973337.
- Exchange 2010 cài đặt chỉ: cài đặt 3154517 cho .NET Framework 3.5.1.
Tại sao có bản Cập Nhật hiện tại hữu ích?
Nó thường có thể đi mà không nói, nhưng bằng cách Cập Nhật hiện tại bạn sẽ giảm thiểu nguy cơ gặp phải bất kỳ vấn đề trong khi áp dụng bản cập nhật mới như các đường dẫn Cập Nhật được kiểm tra và nổi tiếng trước khi phát hành bản cập nhật mới. Chúng tôi muốn giúp bạn tránh bất kỳ sự chậm trễ trong triển khai thay đổi cấu hình TLS có thể phát sinh từ chiến đấu nâng cấp từ rất cũ Exchange hoặc bản cập nhật Windows. Ngoài ra, với bản phát hành December 2017 của chúng tôi cho Exchange Server, chúng tôi đã thực hiện các thay đổi cơ bản để chuẩn bị cho thời điểm này trong lịch sử TLS ‘. Bắt đầu với những bản phát hành, thiết lập Exchange không còn ghi đè cài đặt mật mã hiện tại của máy chủ mà bạn đang nâng cấp. Nếu bạn đã cấu hình các mật mã hóa nhất định và trình tự của họ, chúng tôi sẽ không còn thiết lập lại chúng để cấu hình mặc định mong muốn của chúng tôi. Đối với bất kỳ cài đặt máy chủ mới (không nâng cấp máy chủ hiện có bản cập nhật mới), thiết lập Exchange sẽ vẫn cấu hình đề nghị cấu hình thời gian bản Cập Nhật được xuất bản. Điều này cũng sẽ xảy ra nếu thiết lập chạy với/M: RecoverServer như chúng tôi giả định này là lần đầu tiên Exchange đang được cài đặt trên máy chủ. Nếu khách hàng thích một cấu hình khác với cấu hình out-of-the-Box được đề xuất của chúng tôi, sau đó bạn sẽ vẫn phải áp dụng các bản Cập Nhật sau khi cài đặt Exchange Server lần đầu tiên trên một máy chủ. Tuy nhiên, một khi Exchange được cài đặt cấu hình mật mã tuỳ chỉnh của bạn sẽ vẫn ở nơi sau khi cập nhật Exchange Server trong tương lai. Nhóm Exchange sẽ tiếp tục xuất bản hướng dẫn về các cài đặt mật mã mà chúng tôi cho rằng khách hàng nên sử dụng để cấu hình tối ưu một máy chủ Exchange.
Chúng tôi đã làm gì khác?
Trong lịch sử có nhiều lĩnh vực trong codebase Exchange nơi cụ thể mã hóa giao thức được mã hóa cứng. Trong vài năm qua, chúng tôi đã được cập nhật hệ thống tất cả các khu vực này và từ từ chuyển đổi thành phần hơn để sử dụng các giao thức và mật mã như khiển bởi hệ điều hành cơ bản và .net. Tiến bộ trong việc thực hiện những thay đổi này đã được cố tình làm một cách kiểm soát chậm theo thời gian để đảm bảo sự ổn định của sản phẩm không bị ảnh hưởng. Chúng tôi tin rằng những thay đổi này nên làm cho cuộc sống của người quản trị dễ dàng hơn bằng cách giảm ở đâu và làm thế nào bạn cần phải cấu hình thiết đặt mật mã cho một máy chủ Exchange.
Tôi có một máy chủ hoặc một khách hàng?
Tin tưởng rằng nó hay không, ngay cả với Exchange 2016 sự chấp nhận kết nối đến vai trò máy chủ hộp thư và vai trò Edge Transport không phải là mục đích duy chỉ một máy chủ có thể có. Exchange Server thường chơi vai trò của khách hàng. Bất kỳ thời gian Exchange là bắt đầu liên lạc với hệ thống khác nó có hiệu quả một khách hàng. Gửi thư đến một máy chủ Exchange trong tổ chức của bạn? Client. Liên hệ với O365 để biết yêu cầu F/B tại chỗ? Client. Gửi thư đến một tổ chức đối tác? Client. Làm một tìm kiếm CRL chống lại một CDP để nó có thể hiển thị trạng thái chứng chỉ S/MIME trong OWA? Client. Uỷ cận một yêu cầu khách hàng từ một máy chủ Exchange khác? Client. Trao đổi rõ ràng cũng có thể đóng vai trò của một máy chủ, như được định nghĩa là bên trả lời một yêu cầu từ một hệ thống khác. Ví dụ bao gồm nhận kết nối máy khách, nhận e-mail đến qua SMTP hoặc chấp thuận yêu cầu Cross-Forest từ một tổ chức Exchange. Tại sao vấn đề này? Khi bạn di chuyển về phía trước với các thay đổi cấu hình của bạn, bạn phải cẩn thận để không di chuyển quá nhanh. Dừng lại và đưa cổ phiếu của không chỉ những gì nói chuyện với Exchange, nhưng những gì trao đổi cuộc đàm phán là tốt. Điều này có nghĩa là bạn phải điều phối các thay đổi trên nhiều môi trường để đảm bảo bạn không chịu bất kỳ tác động nào đến tính khả dụng của dịch vụ. Trong phần tiếp theo của bộ truyện, bạn sẽ thấy các thay đổi cấu hình đề cập đến cả các khía cạnh Client và Server của máy. Nếu bạn bỏ lỡ một cài đặt bạn có thể thấy mình với một hệ thống làm cho kết nối ngoài trên giao thức TLS cũ hơn mặc dù nó cho phép kết nối đến chỉ sử dụng TLS 1,2. Trong phần 2 của loạt bài này, chúng tôi sẽ thảo luận làm thế nào để giới thiệu TLS 1,2 vào môi trường của bạn một cách an toàn trong khi các máy chủ khác vẫn có thể sử dụng TLS 1,0 hoặc 1,1.
Kêu gọi hành động và đánh giá
Bạn có nên chuẩn bị để hành động?
Có, chúng tôi khuyên tất cả các khách hàng Exchange Server tại chỗ bắt đầu quá trình chuyển đổi theo hướng sử dụng TLS 1,2.
Hành động Items
Nếu bạn chưa có, hãy kiểm tra hệ thống của bạn cho bất kỳ Cập Nhật chúng tôi đã nêu ở trên khi cần thiết và bắt đầu triển khai chúng để chuẩn bị cho mình để cấu hình TLS 1,2.
Xem xét
Tiếp tục xem không gian này để biết thêm thông tin về cấu hình TLS 1,2, và sau đó thêm hướng dẫn trong tương lai về việc phản đối TLS 1,0 và 1,1 từ máy chủ Exchange. Chúng tôi đang tiếp tục làm việc với các nhóm đối tác của chúng tôi trên khắp Microsoft để cung cấp cho bạn bộ hướng dẫn tốt nhất và bạn sẽ tiếp tục nghe nhiều hơn từ chúng tôi để giúp hướng dẫn bạn qua quá trình chuyển đổi này. Chúng tôi hy vọng bài viết này đầu tiên là hữu ích trong việc lập kế hoạch của bạn và mong được phát hành các bộ phận sắp tới khác! Một khoản nợ lớn của lòng biết ơn đi đến Scott Landry, Brent Alinger, Chris Schrimsher và những người khác để kết hợp nhiều nỗ lực của công việc vào loạt bài đăng này. Brian ngày cao cấp chương trình quản lý văn phòng 365 khách hàng kinh nghiệm.