Compartilhar via


Seleção de certificados TLS anônimos de entrada

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2009-11-23

A seleção de um certificado TLS (Transport Layer Security) anônimo de entrada ocorre nos seguintes cenários:

  • Sessões SMTP entre servidores de Transporte de Borda e servidores de Transporte de Hub para autenticação
  • Sessões SMTP entre servidores de Transporte de Hub para criptografia usando somente chaves públicas

Para comunicação entre servidores de Transporte de Hub, TLS anônimo e as chaves públicas de certificados são usadas para criptografar a sessão. Kerberos é usado para autenticação. Quando uma sessão SMTP é estabelecida, o servidor de destino inicia um processo de seleção de certificado para determinar o certificado usado na negociação de TLS. O servidor de origem também executa um processo de seleção de certificados. Para obter mais informações sobre esse processo, consulte Seleção de certificados TLS anônimos de saída.

Este tópico descreve o processo de seleção de certificados TLS anônimos de entrada. Todas as etapas são executadas no servidor de recebimento. A figura a seguir mostra as etapas desse processo.

Seleção de um certificado TLS anônimo de entrada
Seleção de um certificado TLS anônimo de entrada

  1. Quando a sessão SMTP é estabelecida, o Microsoft Exchange chama um processo para carregar os certificados.

  2. Na função de carregamento do certificado, o Conector de Recebimento ao qual a sessão está conectada é verificado para confirmar se a propriedade AuthMechanism está definida como ExchangeServer. Você pode definir a propriedade AuthMechanism no conector de Recebimento usando o cmdlet Set-ReceiveConnector. Também é possível definir a propriedade AuthMechanism do ExchangeServer selecionando Autenticação do Exchange Server na guia Autenticação de um conector de Recebimento específico.
    Se o ExchangeServer não estiver habilitado como um mecanismo de autenticação, o servidor não anunciará X-ANONYMOUSTLS ao servidor de envio na sessão SMTP e nenhum certificado será carregado. Se ExchangeServer estiver habilitado como um mecanismo de autenticação, o processo de seleção de certificados continuará na próxima etapa.

  3. O Microsoft Exchange consulta  o Active Directory para recuperar a impressão digital do certificado no servidor. O atributo msExchServerInternalTLSCert no objeto de servidor armazena a impressão digital do certificado.
    Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for null, o Microsoft Exchange não anunciará X-ANONYMOUSTLS e nenhum certificado será carregado.

    Dica

    Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for null durante a inicialização do serviço de Transporte do Microsoft Exchange, em vez de durante uma sessão de protocolo SMTP, o Evento de ID 12012 será registrado no log de Aplicativos.

  4. Se for localizada uma impressão digital, o processo de seleção do certificado procura no repositório de certificados do computador local um certificado que corresponda à impressão digital. Se um certificado não for localizado, o servidor não anunciará X-ANONYMOUSTLS, nenhum certificado será carregado e o Evento de ID 12013 será registrado no log de Aplicativos.

  5. Depois que um certificado for carregado a partir de um repositório de certificados, é feita uma verificação para confirmar se ele não expirou. O campo Valid to do certificado é comparado à data e hora atuais. Se o certificado tiver expirado, a ID de Evento 12015 será registrada no log de Aplicativos. Neste caso, o processo de seleção de certificado não falha e prossegue com as verificações restantes.

  6. O certificado é verificado para confirmar se é o mais recente no repositório de certificados do computador local. Como parte desta verificação, uma lista de domínios é construída para possíveis domínios de certificados. A lista de domínios baseia-se na seguinte configuração do computador:

    • Nome de domínio totalmente qualificado (FQDN), como, por exemplo, mail.contoso.com

    • Nome do host, como, por exemplo, EdgeServer01

    • FQDN físico, como, por exemplo, EdgeServer01.contoso.com

    • Nome do host físico, como, por exemplo, EdgeServer01

      Dica

      Se o servidor estiver configurado como um cluster ou em um computador que esteja executando o Balanceamento de Carga do Microsoft Windows, a seguinte chave de registro é verificada, ao invés da configuração DnsFullyQualifiedDomainName: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Depois que a lista de domínios for criada, o processo de seleção de certificados verificará se todos os certificados no repositório de certificados têm um FQDN correspondente. Nessa lista, o processo de seleção de certificado identifica uma lista de certificados qualificados. Os certificados qualificados devem atender aos seguintes critérios:

    • O certificado é um X.509 versão 3 ou um certificado de uma versão posterior.
    • O certificado possui uma chave particular associada.
    • Os campos Assunto ou Nome Alternativo do Assunto contêm o FQDN recuperado na etapa 6.
    • O certificado é habilitado para uso com SSL/TLS. Especificamente, o serviço SMTP foi habilitado para este certificado usando o cmdlet Enable-ExchangeCertificate.
  8. Dentre os certificados qualificados, o melhor é selecionado com base nesta seqüência:

    1. Classificar os certificados qualificados pela data Valid from mais recente. Valid from é o campo Versão 1 no certificado.
    2. O primeiro certificado de infraestrutura de chave pública (PKI) válido encontrado nessa lista é usado.
    3. Se não for encontrado nenhum certificado de PKI válido, será usado o primeiro certificado auto-assinado.
  9. Depois que o melhor certificado tiver sido determinado, outra verificação é feita para determinar se sua impressão digital corresponde ao certificado armazenado no atributo msExchServerInternalTLSCert. Se for correspondente, o certificado é usado para X-ANONYMOUSTLS. Se não for correspondente, o Evento de ID 1037 será registrado no log de Aplicativos. No entanto, isso não causa falha em X-ANONYMOUSTLS.