Поделиться через


Выбор исходящих анонимных TLS-сертификатов

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-04-25

Выбор исходящих анонимных TLS-сертификатов осуществляется в следующих случаях:

  • проверка подлинности в ходе сеансов SMTP между пограничными транспортными серверами и транспортными серверами-концентраторами;

  • шифрование данных только с помощью открытых ключей в ходе сеансов SMTP между транспортными серверами-концентраторами.

При взаимодействии транспортных серверов-концентраторов передаваемые в ходе сеанса данные шифруются с помощью анонимных TLS-сертификатов и открытых ключей сертификатов. Следующим видом проверки подлинности является проверка подлинности Kerberos. При создании сеанса SMTP получающий сервер инициирует процесс выбора сертификата, чтобы определить, какой сертификат следует использовать в ходе согласования TLS. Получающий сервер также осуществляет выбор сертификата. Дополнительные сведения об этом процессе см. в разделе Выбор входящих анонимных сертификатов TLS.

В данном разделе описан процесс выбора исходящих анонимных TLS-сертификатов. Все этапы этого процесса выполняются на отправляющем сервере. Они показаны на рисунке.

noteПримечание.
Во время первоначальной загрузки сертификата процесс выбора сертификата различается на пограничном транспортном сервере и транспортном сервере-концентраторе. На следующем рисунке показана отправная точка для каждой из ролей сервера.

Выбор исходящего анонимного TLS-сертификата

Выбор исходящего анонимного сертификата TLS

Отправка с транспортного сервера-концентратора

  1. При создании сеанса SMTP между транспортным сервером-концентратором и пограничным транспортным сервером Microsoft Exchange вызывает процесс загрузки сертификатов.

  2. Процесс загрузки сертификатов зависит от того, был ли сеанс SMTP инициирован с транспортного сервера-концентратора или пограничного транспортного сервера.

    Транспортный сервер-концентратор.     Выполняются указанные ниже проверки.

    1. Проверяется соединитель приема, к которому подключен сеанс, чтобы узнать, настроено ли свойство SmartHostAuthMechanism для ExchangeServer. Свойство SmartHostAuthMechanism для соединителя отправки можно настроить с помощью командлета Set-SendConnector. Кроме того, присвоить свойству AuthMechanism значение ExchangeServer можно, выбрав параметр Проверка подлинности Exchange Server на вкладке Настроить параметры проверки подлинности промежуточных узлов данного соединителя отправки. Чтобы открыть страницу Настроить параметры проверки подлинности промежуточных узлов, выберите пункт Изменить на вкладке Сеть страницы свойств соединителя отправки.

    2. Проверяется свойство сообщения DeliveryType, чтобы определить, установлено ли для него значение SmtpRelayWithinAdSitetoEdge. Чтобы просмотреть свойство DeliveryType, выполните командлет Get-Queue с аргументом форматирования списка ( | FL).

      Оба этих условий должны выполняться. Если ExchangeServer не включен в качестве механизма проверки подлинности или для свойства DeliveryType не задано значение SmtpRelayWithinAdSitetoEdge, отправляющий транспортный сервер-концентратор не использует анонимный TLS, а сертификаты не загружаются. Если оба условия выполняются, процесс выбора сертификата переходит к действию 3.

    Пограничный транспортный сервер.     Выполняются указанные ниже проверки.

    1. Проверяется соединитель приема, к которому подключен сеанс, чтобы узнать, настроено ли свойство SmartHostAuthMechanism для ExchangeServer. Как указано выше, свойство SmartHostAuthMechanism для соединителя отправки можно настроить с помощью командлета Set-SendConnector. Кроме того, присвоить свойству AuthMechanism значение ExchangeServer можно, выбрав параметр Проверка подлинности Exchange Server на вкладке Настроить параметры проверки подлинности промежуточных узлов данного соединителя отправки. Чтобы открыть страницу Настроить параметры проверки подлинности промежуточных узлов, выберите пункт Изменить на вкладке Сеть страницы свойств соединителя отправки.

    2. Проверяется соединитель отправки, к которому подключен сеанс, чтобы узнать, содержит ли свойство адресного пространства SmartHost значение «- -».

      Оба этих условий должны выполняться. Если ExchangeServer не включен в качестве механизма проверки подлинности или адресное пространство не содержит значение «- -», отправляющий транспортный сервер-концентратор не использует анонимный TLS, а сертификаты не загружаются. Если оба условия выполняются, процесс выбора сертификата переходит к действию 3.

  3. Microsoft Exchange запрашивает у службы каталогов Active Directory отпечаток сертификата, хранящийся на сервере. Отпечаток сертификата хранится в атрибуте msExchServerInternalTLSCert объекта сервера.

    Если атрибут msExchServerInternalTLSCert не может быть прочитан или имеет значение null, Microsoft Exchange не объявляет X-ANONYMOUSTLS в сеансе SMTP, а сертификаты не загружаются.

    noteПримечание.
    Если атрибут msExchServerInternalTLSCert не может быть прочитан или имеет значение null при запуске службы транспорта Microsoft Exchange, а не во время сеанса SMTP, в журнале приложений регистрируется событие 12012.
  4. Если отпечаток удалось найти, процесс выбора сертификата ищет в хранилище сертификатов на локальном компьютере сертификат, соответствующий отпечатку. Если найти такой сертификат не удается, сервер не объявляет X-ANONYMOUSTLS, сертификаты не загружаются, а в журнале приложений регистрируется событие 12013.

  5. После загрузки сертификата из хранилища сертификатов выполняется проверка того, не истек ли срок его действия. Для этого поле сертификата Valid to (Действителен до) сравнивается с текущими датой и временем. Если срок действия сертификата истек, в журнале приложений регистрируется событие 12015, однако процесс выбора сертификата не завершается и продолжает выполнять остальные проверки.

  6. Выполняется проверка того, является ли сертификат самым новым в хранилище сертификатов локального компьютера. При этом для составляется список доменов потенциальных сертификатов. Он включает следующие сведения:

    • полное доменное имя, такое как mail.contoso.com;

    • имя узла, такое как EdgeServer01;

    • физическое полное доменное имя, такое как EdgeServer01.contoso.com;

    • физическое имя узла, такое как EdgeServer01.

    noteПримечание.
    На серверах, настроенных как кластеры, и на компьютерах с балансировкой нагрузки Microsoft Windows вместо параметра DnsFullyQualifiedDomainName проверяется следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\{GUID}\ClusterName
  7. После создания списка доменов процесс выбора сертификата ищет в хранилище сертификатов все сертификаты, имеющие соответствующее полное доменное имя. Из них выбираются пригодные сертификаты, которые должны соответствовать указанным ниже критериям.

    • Сертификат должен иметь версию X.509 3 или более позднюю.

    • С сертификатом должен быть сопоставлен закрытый ключ.

    • В поле «Имя субъекта» или «Альтернативное имя субъекта» должно быть указано полное доменное имя, полученное в действии 6.

    • Для сертификата должна быть включена поддержка SSL/TLS. Точнее говоря, для сертификата с помощью командлета Enable-ExchangeCertificate должна быть включена служба SMTP.

  8. Лучший сертификат выбирается из списка пригодных сертификатов в соответствии с описанной ниже процедурой.

    • Пригодные сертификаты сортируются по самой поздней дате Valid from (Действителен с). Поле Valid from используется в сертификатах с первой версии.

    • Используется первый допустимый сертификат инфраструктуры открытого ключа (PKI), найденный в данном списке.

    • Если допустимые сертификаты PKI не были найдены, используется первый самозаверяющий сертификат.

  9. После определения наилучшего сертификата выполняется проверка того, соответствует ли его отпечаток сертификату, который хранится в атрибуте msExchServerInternalTLSCert. Если да, этот сертификат используется для проверки подлинности X-AnonymousTLS. В противном случае в журнале приложений регистрируется событие 1037, но это не приводит к сбою процесса X-AnonymousTLS.

Дополнительные сведения

Дополнительные сведения о способе выбора сертификатов в других ситуациях, когда используется протокол TLS, см. в следующих разделах: