Выбор входящих анонимных сертификатов TLS
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2011-01-19
Выбор входящих анонимных сертификатов протокола TLS осуществляется в следующих случаях:
проверка подлинности в ходе сеансов SMTP между пограничными транспортными серверами и транспортными серверами-концентраторами;
шифрование данных только с помощью открытых ключей в ходе сеансов SMTP между транспортными серверами-концентраторами.
При взаимодействии транспортных серверов-концентраторов между собой передаваемые в ходе сеанса данные шифруются с помощью анонимных сертификатов TLS и открытых ключей сертификатов. Следующим видом проверки подлинности является проверка подлинности Kerberos. При создании сеанса SMTP получающий сервер инициирует процесс выбора сертификата, чтобы определить, какой сертификат следует использовать в ходе согласования TLS. Отправляющий сервер также осуществляет выбор сертификата. Дополнительные сведения об этом процессе см. в разделе Выбор исходящих анонимных TLS-сертификатов.
В данном разделе описан процесс выбора входящих анонимных сертификатов TLS. Все этапы этого процесса выполняются на получающем сервере. Они показаны на рисунке ниже.
Выбор входящего анонимного сертификата TLS
При создании сеанса SMTP сервер Microsoft Exchange вызывает процесс загрузки сертификатов.
В функции загрузки сертификата выполняется проверка того, что для получающего соединителя, с которым связывается сеанс, свойству AuthMechanism присвоено значение
ExchangeServer
. Задать значение свойства AuthMechanism на соединителе приема можно с помощью командлета Set-ReceiveConnector. Кроме того, можно присвоить свойству AuthMechanism значениеExchangeServer
, выбрав параметр Проверка подлинности Exchange Server на вкладке Проверка подлинности конкретного получающего соединителя.Если сервер
ExchangeServer
не включен в качестве механизма проверки подлинности, сервер в ходе сеанса SMTP не предъявляет отправляющему серверу объявление X-ANONYMOUSTLS и никакой сертификат не загружается. Если серверExchangeServer
включен в качестве механизма проверки подлинности, выполняется переход к следующему этапу выбора сертификата.Сервер Microsoft Exchange запрашивает у службы каталогов Active Directory отпечаток сертификата, хранящийся на сервере. Отпечаток сертификата хранится в атрибуте msExchServerInternalTLSCert объекта сервера.
Если атрибут msExchServerInternalTLSCert не может быть прочитан или имеет значение
null
, сервер Microsoft Exchange не делает объявление X-ANONYMOUSTLS и никакой сертификат не загружается.Примечание. Если атрибут msExchServerInternalTLSCert не может быть прочитан или имеет значение null
при запуске службы передачи Microsoft Exchange, а не во время сеанса SMTP, в журнале приложений регистрируется событие 12012.Если отпечаток удалось найти, процесс выбора сертификата ищет в хранилище сертификатов на локальном компьютере сертификат, соответствующий отпечатку. Если найти такой сертификат не удается, сервер не делает объявление X-ANONYMOUSTLS, никакой сертификат не загружается и в журнале приложений регистрируется событие 12013.
После загрузки сертификата из хранилища сертификатов выполняется проверка того, не истек ли срок его действия. Для этого имеющееся в сертификате поле Valid to (действителен до) сравнивается с текущими датой и временем. Если срок действия сертификата истек, в журнале приложений регистрируется событие 12015, однако процесс выбора сертификата не завершается и продолжает выполнять остальные проверки.
Выполняется проверка того, является ли сертификат самым новым в хранилище сертификатов локального компьютера. При этом составляется список доменов потенциальных сертификатов. Этот список включает следующие сведения:
полное доменное имя, такое как mail.contoso.com;
имя узла, такое как EdgeServer01;
физическое полное доменное имя, такое как EdgeServer01.contoso.com;
физическое имя узла, такое как EdgeServer01.
Примечание. На серверах, настроенных как кластеры, и на компьютерах с балансировкой нагрузки Microsoft Windows вместо параметра DnsFullyQualifiedDomainName проверяется следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\{GUID}\ClusterName
После создания списка доменов процесс выбора сертификата ищет в хранилище сертификатов все сертификаты, имеющие соответствующее полное доменное имя. Из них выбираются пригодные сертификаты, которые должны соответствовать указанным ниже критериям.
Это должен быть сертификат X.509 версии 3 или более поздней версии.
С сертификатом должен быть связан закрытый ключ.
В поле "Имя субъекта" или "Дополнительное имя субъекта" должно быть указано полное доменное имя, полученное на этапе 6.
Для сертификата должна быть включена поддержка протокола SSL с шифрованием по протоколу TLS. В частности, для сертификата должна быть включена служба SMTP с помощью командлета Enable-ExchangeCertificate.
Лучший сертификат выбирается из списка пригодных сертификатов в соответствии с описанной ниже процедурой.
Пригодные сертификаты сортируются по самой поздней дате начала действия (Valid from). Поле Valid from используется в сертификатах с первой версии.
Используется первый действительный сертификат инфраструктуры открытого ключа, найденный в данном списке.
Если никакие действительные сертификаты инфраструктуры открытого ключа не были найдены, используется первый самозаверяющий сертификат.
После определения наилучшего сертификата выполняется проверка того, соответствует ли его отпечаток сертификату, который хранится в атрибуте msExchServerInternalTLSCert. Если соответствие установлено, этот сертификат используется для выполнения проверки подлинности X-AnonymousTLS. Если проверка завершается неудачей, в журнале приложений регистрируется событие 1037, но это не приводит к сбою процесса X-AnonymousTLS.
Дополнительные сведения
Дополнительные сведения о способе выбора сертификатов в других ситуациях, когда используется протокол TLS, см. в следующих разделах: