Seleção de certificados TLS anônimos de entrada
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2009-11-23
A seleção de um certificado TLS (Transport Layer Security) anônimo de entrada ocorre nos seguintes cenários:
- Sessões SMTP entre servidores de Transporte de Borda e servidores de Transporte de Hub para autenticação
- Sessões SMTP entre servidores de Transporte de Hub para criptografia usando somente chaves públicas
Para comunicação entre servidores de Transporte de Hub, TLS anônimo e as chaves públicas de certificados são usadas para criptografar a sessão. Kerberos é usado para autenticação. Quando uma sessão SMTP é estabelecida, o servidor de destino inicia um processo de seleção de certificado para determinar o certificado usado na negociação de TLS. O servidor de origem também executa um processo de seleção de certificados. Para obter mais informações sobre esse processo, consulte Seleção de certificados TLS anônimos de saída.
Este tópico descreve o processo de seleção de certificados TLS anônimos de entrada. Todas as etapas são executadas no servidor de recebimento. A figura a seguir mostra as etapas desse processo.
Seleção de um certificado TLS anônimo de entrada
Quando a sessão SMTP é estabelecida, o Microsoft Exchange chama um processo para carregar os certificados.
Na função de carregamento do certificado, o Conector de Recebimento ao qual a sessão está conectada é verificado para confirmar se a propriedade AuthMechanism está definida como
ExchangeServer
. Você pode definir a propriedade AuthMechanism no conector de Recebimento usando o cmdlet Set-ReceiveConnector. Também é possível definir a propriedade AuthMechanism doExchangeServer
selecionando Autenticação do Exchange Server na guia Autenticação de um conector de Recebimento específico.
Se oExchangeServer
não estiver habilitado como um mecanismo de autenticação, o servidor não anunciará X-ANONYMOUSTLS ao servidor de envio na sessão SMTP e nenhum certificado será carregado. SeExchangeServer
estiver habilitado como um mecanismo de autenticação, o processo de seleção de certificados continuará na próxima etapa.O Microsoft Exchange consulta o Active Directory para recuperar a impressão digital do certificado no servidor. O atributo msExchServerInternalTLSCert no objeto de servidor armazena a impressão digital do certificado.
Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor fornull
, o Microsoft Exchange não anunciará X-ANONYMOUSTLS e nenhum certificado será carregado.Dica
Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for
null
durante a inicialização do serviço de Transporte do Microsoft Exchange, em vez de durante uma sessão de protocolo SMTP, o Evento de ID 12012 será registrado no log de Aplicativos.Se for localizada uma impressão digital, o processo de seleção do certificado procura no repositório de certificados do computador local um certificado que corresponda à impressão digital. Se um certificado não for localizado, o servidor não anunciará X-ANONYMOUSTLS, nenhum certificado será carregado e o Evento de ID 12013 será registrado no log de Aplicativos.
Depois que um certificado for carregado a partir de um repositório de certificados, é feita uma verificação para confirmar se ele não expirou. O campo Valid to do certificado é comparado à data e hora atuais. Se o certificado tiver expirado, a ID de Evento 12015 será registrada no log de Aplicativos. Neste caso, o processo de seleção de certificado não falha e prossegue com as verificações restantes.
O certificado é verificado para confirmar se é o mais recente no repositório de certificados do computador local. Como parte desta verificação, uma lista de domínios é construída para possíveis domínios de certificados. A lista de domínios baseia-se na seguinte configuração do computador:
Nome de domínio totalmente qualificado (FQDN), como, por exemplo, mail.contoso.com
Nome do host, como, por exemplo, EdgeServer01
FQDN físico, como, por exemplo, EdgeServer01.contoso.com
Nome do host físico, como, por exemplo, EdgeServer01
Dica
Se o servidor estiver configurado como um cluster ou em um computador que esteja executando o Balanceamento de Carga do Microsoft Windows, a seguinte chave de registro é verificada, ao invés da configuração DnsFullyQualifiedDomainName: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName
Depois que a lista de domínios for criada, o processo de seleção de certificados verificará se todos os certificados no repositório de certificados têm um FQDN correspondente. Nessa lista, o processo de seleção de certificado identifica uma lista de certificados qualificados. Os certificados qualificados devem atender aos seguintes critérios:
- O certificado é um X.509 versão 3 ou um certificado de uma versão posterior.
- O certificado possui uma chave particular associada.
- Os campos Assunto ou Nome Alternativo do Assunto contêm o FQDN recuperado na etapa 6.
- O certificado é habilitado para uso com SSL/TLS. Especificamente, o serviço SMTP foi habilitado para este certificado usando o cmdlet Enable-ExchangeCertificate.
Dentre os certificados qualificados, o melhor é selecionado com base nesta seqüência:
- Classificar os certificados qualificados pela data Valid from mais recente. Valid from é o campo Versão 1 no certificado.
- O primeiro certificado de infraestrutura de chave pública (PKI) válido encontrado nessa lista é usado.
- Se não for encontrado nenhum certificado de PKI válido, será usado o primeiro certificado auto-assinado.
Depois que o melhor certificado tiver sido determinado, outra verificação é feita para determinar se sua impressão digital corresponde ao certificado armazenado no atributo msExchServerInternalTLSCert. Se for correspondente, o certificado é usado para X-ANONYMOUSTLS. Se não for correspondente, o Evento de ID 1037 será registrado no log de Aplicativos. No entanto, isso não causa falha em X-ANONYMOUSTLS.