入站 STARTTLS 证书的选择

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2011-01-19

在下列方案中需要选择入站 STARTTLS 证书:

  • 简单邮件传输协议 (SMTP) 主机向边缘传输服务器请求传输层安全性 (TLS)。向边缘传输服务器请求 TLS 的主机可以是任何其他 SMTP 主机。本节还介绍了域安全方案。有关域安全的详细信息,请参阅规划域安全性

  • SMTP 客户端(例如 Microsoft Outlook Express)向集线器传输服务器请求 TLS。

  • 面向 Internet 的集线器传输服务器向边缘传输服务器请求 TLS。

建立 SMTP 会话之后,接收服务器将启动证书选择过程,以确定在 TLS 协商期间要使用的证书。发送服务器也执行证书选择过程。有关该过程的详细信息,请参阅出站匿名 TLS 证书选择

本主题说明入站 STARTTLS 的证书选择过程。本主题中介绍的所有步骤均在接收服务器上执行。下图说明此过程的步骤。

入站 STARTTLS 证书的选择

选择入站 STARTTLS 证书

  1. 建立 SMTP 会话之后,Microsoft Exchange 将调用加载证书的进程。

  2. 在加载证书的功能中,将检查会话连接到的接收连接器,确定 AuthMechanism 属性的值是否设置为 TLS。您可以使用 Set-ReceiveConnector cmdlet 在接收连接器上设置 AuthMechanism 属性。也可以在给定接收连接器的“身份验证”选项卡上选择“传输安全层 (TLS)”,将 AuthMechanism 属性设置为 TLS。

    如果未启用 TLS 作为身份验证机制,服务器不会将 X-STARTTLS 作为选项向发送服务器公布,并且不会加载任何证书。如果已启用 TLS 作为身份验证机制,证书选择过程将继续执行下一步。

  3. 证书选择过程从接收连接器配置检索完全限定的域名 (FQDN) 值。如果接收连接器上的 FQDN 值为 null,将检索服务器的物理 FQDN。

  4. 证书选择过程在本地计算机的证书存储中搜索与 FQDN 相匹配的证书。如果未找到证书,服务器不会公布 X-STARTTLS,不会加载任何证书,并在应用程序日志中记录事件 ID 12014。

  5. 证书选择过程在证书存储中搜索所有具有相匹配的 FQDN 的证书。证书选择过程从此列表中确定合格证书的列表。合格证书必须满足下列条件:

    • 证书是 X.509 版本 3 或更高版本的证书。

    • 证书具有关联的私钥。

    • 主题或主题备用名称字段包含在步骤 3 中检索的 FQDN。

    • 已对安全套接字层 (SSL)/TLS 启用此证书。具体来说,已使用 Enable-ExchangeCertificate cmdlet 为此证书启用了 SMTP 服务。

  6. 如果在执行上述检查之后仍未找到合格证书,服务器不会公布 X-STARTTLS,不会加载任何证书,并在应用程序日志中记录事件 ID 12014。

  7. 根据以下顺序从合格证书中选择最佳证书:

    • 按最新的 Valid from 日期对合格证书进行排序。Valid from 是证书上的 Version 1 字段。

    • 将使用此列表中找到的第一个有效的公钥基础结构 (PKI) 证书。

    • 如果未找到有效的 PKI 证书,将使用第一个自签名证书。

  8. 检查证书,以确定证书是否已过期。将证书属性中的 Valid to 字段与当前日期和时间进行比较。如果证书尚未过期,则将公布 STARTTLS。如果证书已过期,将在应用程序日志中记录事件 ID 12016,但是仍会公布 STARTTLS。

详细信息

有关如何为其他 TLS 方案选择证书的详细信息,请参阅下列主题: