Compartilhar via


Seleção de certificados TLS anônimos de saída

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2009-12-07

Este tópico descreve o processo de seleção para certificados de protocolo TLS anônimos de saída no in Microsoft Exchange Server 2010. A seleção de um certificado desse tipo ocorre nos seguintes cenários:

  • Sessões SMTP entre servidores de Transporte de Hub e de Transporte de Borda para autenticação
  • Sessões SMTP entre servidores de Transporte de Hub para criptografia usando somente chaves públicas

Para comunicação entre servidores de Transporte de Hub, TLS anônimo e as chaves públicas de certificados são usadas para criptografar a sessão. Quando uma sessão SMTP é estabelecida, o servidor de destino inicia um processo de seleção de certificado para determinar o certificado usado na negociação de TLS. O servidor de recebimento também executa um processo de seleção de certificados. Para obter mais informações sobre esse processo, consulte Seleção de certificados TLS anônimos de entrada.

Enviando a partir de um servidor de transporte de Hub ou um servidor de transporte de borda

Todas as etapas para a seleção de um certificado de protocolo TLS anônimo de saída são executadas no servidor de envio. A figura a seguir mostra as etapas desse processo.

Seleção de um certificado TLS anônimo de saída
Seleção de um certificado TLS anônimo de saída

  1. Quando a sessão SMTP é estabelecida a partir de um servidor de Transporte de Hub ou de Transporte de Borda, o Microsoft Exchange solicita um processo para carregar os certificados.

    Dica

    Durante o carregamento inicial do certificado, o processo de seleção de certificado de saída é diferente para a função de servidor Transporte de Borda e para a função de servidor Transporte de Hub. A figura mostra o ponto inicial de cada função de servidor.

  2. O processo de carregamento de certificado depende de se a sessão SMTP é iniciada a partir de um servidor de Transporte de Hub ou de Transporte de Borda.
    Em um servidor de Transporte de Hub     São feitas as verificações a seguir:

    1. O Conector de Envio ao qual a sessão está conectada é verificado para confirmar se a propriedade SmartHostAuthMechanism está configurada para o ExchangeServer. É possível definir a propriedade SmartHostAuthMechanism no Conector de Envio usando o cmdlet Set-SendConnector. Também é possível definir a propriedade SmartHostAuthMechanism como ExchangeServer, selecionando Autenticação do Exchange Server na página Configurar Definições de Autenticação de Host Inteligente de um determinado conector de envio. Para abrir a página Configurar Definições de Autenticação de Host Inteligente, clique em Alterar na guia Rede da página de propriedades do Conector de Envio.
    2. A propriedade DeliveryType da mensagem é verificada para determinar se o seu valor está definido como SmtpRelayWithinAdSitetoEdge. É possível exibir a propriedade DeliveryType executando o cmdlet Get-Queue com o argumento da lista de formato ( | Format-List).
      As duas condições a seguir devem ser atendidas. Se o ExchangeServer não estiver habilitado como um mecanismo de autenticação, ou se a propriedade DeliveryType não estiver definida como SmtpRelayWithinAdSitetoEdge, o servidor de Transporte de Hub de envio não usará TLS anônimo e nenhum certificado será carregado. Se ambas as condições forem atendidas, o processo de seleção de certificado prosseguirá para a etapa 3.
      Em um servidor de Transporte de Borda     São feitas as verificações a seguir:
    3. O Conector de Envio ao qual a sessão está conectada é verificado para confirmar se a propriedade SmartHostAuthMechanism está configurada para o ExchangeServer. Conforme mostrado anteriormente neste tópico, é possível definir a propriedade SmartHostAuthMechanism no conector de envio usando o cmdlet Set-SendConnector. Também é possível definir a propriedade SmartHostAuthMechanism como ExchangeServer, selecionando Autenticação do Exchange Server na página Configurar Definições de Autenticação de Host Inteligente de um determinado conector de envio. Para abrir a página Configurar Definições de Autenticação de Host Inteligente, clique em Alterar na guia Rede da página de propriedades do Conector de Envio.
    4. O Conector de Envio ao qual a sessão está conectada é verificado para determinar se a propriedade do espaço de endereçamento SmartHost contém "- -".
      As duas condições a seguir devem ser atendidas. Se o ExchangeServer não estiver habilitado como um mecanismo de autenticação e o espaço de endereçamento não contiver "- -", o servidor de Transporte de Borda de envio não usará protocolo TLS anônimo e nenhum certificado será carregado. Se ambas as condições forem atendidas, o processo de seleção de certificado prosseguirá para a etapa 3.
  3. O Microsoft Exchange consulta o Active Directory para recuperar a impressão digital do certificado no servidor. O atributo msExchServerInternalTLSCert no objeto de servidor armazena a impressão digital do certificado.
    Se o atributo msExchServerInternalTLSCert ** não puder ser lido ou se o valor for null, o Microsoft Exchange não anunciará X-ANONYMOUSTLS na sessão SMTP e nenhum certificado será carregado.

    Dica

    Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for null durante a inicialização do serviço de Transporte do Microsoft Exchange, em vez de durante uma sessão de protocolo SMTP, a ID de Evento 12012 será registrada no log de Aplicativos.

  4. Se for localizada uma impressão digital, o processo de seleção do certificado procura no repositório de certificados do computador local um certificado que corresponda à impressão digital. Se um certificado não for localizado, o servidor não anunciará X-ANONYMOUSTLS, nenhum certificado será carregado e a ID de Evento 12013 será registrada no log de Aplicativos.

  5. Depois que um certificado é carregado a partir de um repositório de certificados, é feita uma verificação para confirmar se ele não expirou. O campo Valid to do certificado é comparado à data e hora atuais. Se o certificado tiver expirado, a ID de Evento 12015 será registrada no log de Aplicativos. Nesse caso, o processo de seleção de certificado não falha e prossegue com as verificações restantes.

  6. O certificado é verificado para confirmar se ele é o mais recente no repositório de certificados do computador local. Como parte desta verificação, uma lista de domínios é construída para possíveis domínios de certificados. A lista de domínios baseia-se na seguinte configuração do computador:

    • Nome de domínio totalmente qualificado (FQDN), como, por exemplo, mail.contoso.com

    • Nome do host, como, por exemplo, EdgeServer01

    • FQDN físico, como, por exemplo, EdgeServer01.contoso.com

    • Nome do host físico, como, por exemplo, EdgeServer01

      Dica

      Se o servidor estiver executando o Balanceamento de Carga do Microsoft Windows, a seguinte chave de registro será verificada, em vez da configuração DnsFullyQualifiedDomainName: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Depois que a lista de domínios for criada, o processo de seleção de certificados realizará uma pesquisa para localizar todos os certificados no repositório de certificados que possuam um FQDN correspondente. Nessa lista, o processo de seleção de certificado identifica uma lista de certificados qualificados. Os certificados qualificados devem atender aos seguintes critérios:

    • O certificado é um X.509 versão 3 ou um certificado de uma versão posterior.
    • O certificado possui uma chave particular associada.
    • Os campos Assunto ou Nome Alternativo do Assunto contêm o FQDN recuperado na etapa 6.
    • O certificado é habilitado para uso com SSL/TLS. Especificamente, o serviço SMTP foi habilitado para este certificado com o cmdlet Enable-ExchangeCertificate.
  8. Dentre os certificados qualificados, o melhor é selecionado com base nesta seqüência:

    1. Classifique os certificados elegíveis por data Valid from mais recente. Valid from é um campo Versão 1 no certificado.
    2. O primeiro certificado de infraestrutura de chave pública (PKI) válido encontrado nessa lista é usado.
    3. Se não for encontrado nenhum certificado de PKI válido, será usado o primeiro certificado auto-assinado.
  9. Depois que o melhor certificado tiver sido determinado, outra verificação será feita para determinar se sua impressão digital corresponde ao certificado armazenado no atributo msExchServerInternalTLSCert. Se for correspondente, o certificado será usado para X-ANONYMOUSTLS. Se não for correspondente, a ID de Evento 1037 será registrada no log de Aplicativos. No entanto, isso não causa falha em X-ANONYMOUSTLS.