Seleção de certificados TLS anônimos de saída
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2009-12-07
Este tópico descreve o processo de seleção para certificados de protocolo TLS anônimos de saída no in Microsoft Exchange Server 2010. A seleção de um certificado desse tipo ocorre nos seguintes cenários:
- Sessões SMTP entre servidores de Transporte de Hub e de Transporte de Borda para autenticação
- Sessões SMTP entre servidores de Transporte de Hub para criptografia usando somente chaves públicas
Para comunicação entre servidores de Transporte de Hub, TLS anônimo e as chaves públicas de certificados são usadas para criptografar a sessão. Quando uma sessão SMTP é estabelecida, o servidor de destino inicia um processo de seleção de certificado para determinar o certificado usado na negociação de TLS. O servidor de recebimento também executa um processo de seleção de certificados. Para obter mais informações sobre esse processo, consulte Seleção de certificados TLS anônimos de entrada.
Enviando a partir de um servidor de transporte de Hub ou um servidor de transporte de borda
Todas as etapas para a seleção de um certificado de protocolo TLS anônimo de saída são executadas no servidor de envio. A figura a seguir mostra as etapas desse processo.
Seleção de um certificado TLS anônimo de saída
Quando a sessão SMTP é estabelecida a partir de um servidor de Transporte de Hub ou de Transporte de Borda, o Microsoft Exchange solicita um processo para carregar os certificados.
Dica
Durante o carregamento inicial do certificado, o processo de seleção de certificado de saída é diferente para a função de servidor Transporte de Borda e para a função de servidor Transporte de Hub. A figura mostra o ponto inicial de cada função de servidor.
O processo de carregamento de certificado depende de se a sessão SMTP é iniciada a partir de um servidor de Transporte de Hub ou de Transporte de Borda.
Em um servidor de Transporte de Hub São feitas as verificações a seguir:- O Conector de Envio ao qual a sessão está conectada é verificado para confirmar se a propriedade SmartHostAuthMechanism está configurada para o
ExchangeServer
. É possível definir a propriedade SmartHostAuthMechanism no Conector de Envio usando o cmdlet Set-SendConnector. Também é possível definir a propriedade SmartHostAuthMechanism comoExchangeServer
, selecionando Autenticação do Exchange Server na página Configurar Definições de Autenticação de Host Inteligente de um determinado conector de envio. Para abrir a página Configurar Definições de Autenticação de Host Inteligente, clique em Alterar na guia Rede da página de propriedades do Conector de Envio. - A propriedade DeliveryType da mensagem é verificada para determinar se o seu valor está definido como
SmtpRelayWithinAdSitetoEdge
. É possível exibir a propriedade DeliveryType executando o cmdlet Get-Queue com o argumento da lista de formato (| Format-List
).
As duas condições a seguir devem ser atendidas. Se oExchangeServer
não estiver habilitado como um mecanismo de autenticação, ou se a propriedade DeliveryType não estiver definida comoSmtpRelayWithinAdSitetoEdge
, o servidor de Transporte de Hub de envio não usará TLS anônimo e nenhum certificado será carregado. Se ambas as condições forem atendidas, o processo de seleção de certificado prosseguirá para a etapa 3.
Em um servidor de Transporte de Borda São feitas as verificações a seguir: - O Conector de Envio ao qual a sessão está conectada é verificado para confirmar se a propriedade SmartHostAuthMechanism está configurada para o
ExchangeServer
. Conforme mostrado anteriormente neste tópico, é possível definir a propriedade SmartHostAuthMechanism no conector de envio usando o cmdlet Set-SendConnector. Também é possível definir a propriedade SmartHostAuthMechanism comoExchangeServer
, selecionando Autenticação do Exchange Server na página Configurar Definições de Autenticação de Host Inteligente de um determinado conector de envio. Para abrir a página Configurar Definições de Autenticação de Host Inteligente, clique em Alterar na guia Rede da página de propriedades do Conector de Envio. - O Conector de Envio ao qual a sessão está conectada é verificado para determinar se a propriedade do espaço de endereçamento SmartHost contém "- -".
As duas condições a seguir devem ser atendidas. Se oExchangeServer
não estiver habilitado como um mecanismo de autenticação e o espaço de endereçamento não contiver "- -", o servidor de Transporte de Borda de envio não usará protocolo TLS anônimo e nenhum certificado será carregado. Se ambas as condições forem atendidas, o processo de seleção de certificado prosseguirá para a etapa 3.
- O Conector de Envio ao qual a sessão está conectada é verificado para confirmar se a propriedade SmartHostAuthMechanism está configurada para o
O Microsoft Exchange consulta o Active Directory para recuperar a impressão digital do certificado no servidor. O atributo msExchServerInternalTLSCert no objeto de servidor armazena a impressão digital do certificado.
Se o atributo msExchServerInternalTLSCert ** não puder ser lido ou se o valor fornull
, o Microsoft Exchange não anunciará X-ANONYMOUSTLS na sessão SMTP e nenhum certificado será carregado.Dica
Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for
null
durante a inicialização do serviço de Transporte do Microsoft Exchange, em vez de durante uma sessão de protocolo SMTP, a ID de Evento 12012 será registrada no log de Aplicativos.Se for localizada uma impressão digital, o processo de seleção do certificado procura no repositório de certificados do computador local um certificado que corresponda à impressão digital. Se um certificado não for localizado, o servidor não anunciará X-ANONYMOUSTLS, nenhum certificado será carregado e a ID de Evento 12013 será registrada no log de Aplicativos.
Depois que um certificado é carregado a partir de um repositório de certificados, é feita uma verificação para confirmar se ele não expirou. O campo Valid to do certificado é comparado à data e hora atuais. Se o certificado tiver expirado, a ID de Evento 12015 será registrada no log de Aplicativos. Nesse caso, o processo de seleção de certificado não falha e prossegue com as verificações restantes.
O certificado é verificado para confirmar se ele é o mais recente no repositório de certificados do computador local. Como parte desta verificação, uma lista de domínios é construída para possíveis domínios de certificados. A lista de domínios baseia-se na seguinte configuração do computador:
Nome de domínio totalmente qualificado (FQDN), como, por exemplo, mail.contoso.com
Nome do host, como, por exemplo, EdgeServer01
FQDN físico, como, por exemplo, EdgeServer01.contoso.com
Nome do host físico, como, por exemplo, EdgeServer01
Dica
Se o servidor estiver executando o Balanceamento de Carga do Microsoft Windows, a seguinte chave de registro será verificada, em vez da configuração DnsFullyQualifiedDomainName: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName
Depois que a lista de domínios for criada, o processo de seleção de certificados realizará uma pesquisa para localizar todos os certificados no repositório de certificados que possuam um FQDN correspondente. Nessa lista, o processo de seleção de certificado identifica uma lista de certificados qualificados. Os certificados qualificados devem atender aos seguintes critérios:
- O certificado é um X.509 versão 3 ou um certificado de uma versão posterior.
- O certificado possui uma chave particular associada.
- Os campos Assunto ou Nome Alternativo do Assunto contêm o FQDN recuperado na etapa 6.
- O certificado é habilitado para uso com SSL/TLS. Especificamente, o serviço SMTP foi habilitado para este certificado com o cmdlet Enable-ExchangeCertificate.
Dentre os certificados qualificados, o melhor é selecionado com base nesta seqüência:
- Classifique os certificados elegíveis por data Valid from mais recente. Valid from é um campo Versão 1 no certificado.
- O primeiro certificado de infraestrutura de chave pública (PKI) válido encontrado nessa lista é usado.
- Se não for encontrado nenhum certificado de PKI válido, será usado o primeiro certificado auto-assinado.
Depois que o melhor certificado tiver sido determinado, outra verificação será feita para determinar se sua impressão digital corresponde ao certificado armazenado no atributo msExchServerInternalTLSCert. Se for correspondente, o certificado será usado para X-ANONYMOUSTLS. Se não for correspondente, a ID de Evento 1037 será registrada no log de Aplicativos. No entanto, isso não causa falha em X-ANONYMOUSTLS.