選擇輸入 STARTTLS 憑證
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2011-01-19
在下列案例中需要選擇輸入 STARTTLS 憑證:
- 簡易郵件傳送通訊協定 (SMTP) 主機向 Edge Transport Server 要求傳輸層安全性 (TLS)。向 Edge Transport Server 要求 TLS 的主機可以是其他任何 SMTP 主機。這同時適用於「網域安全性」案例。如需「網域安全性」的相關資訊,請參閱規劃網域安全性。
- SMTP 用戶端 (例如 Microsoft Outlook Express) 向 Hub Transport Server 要求 TLS。
- 面向網際網路的 Hub Transport Server 向 Edge Transport Server 要求 TLS。
在建立 SMTP 工作階段時,接收伺服器會初始化憑證選擇程序,以決定在 TLS 交涉時要使用的憑證。傳送伺服器也會執行憑證選取程序。如需該程序的相關資訊,請參閱選擇輸出匿名 TLS 憑證。
本主題說明輸入 STARTTLS 的憑證選取程序。本主題中所述的所有步驟都要在接收伺服器上執行。下圖顯示此程序的步驟。
- 建立 SMTP 工作階段後,Microsoft Exchange 呼叫載入憑證的程序。
- 憑證載入作業檢查與工作階段連接的接收連接器,以查看 AuthMechanism 內容的值是否已設定為
TLS
。您可以使用 Set-ReceiveConnector 指令程式,設定接收連接器上的 AuthMechanism 內容。也可以在某個接收連接器的 [驗證] 索引標籤上選取 [傳輸層安全性 (TLS)],藉以將 AuthMechanism 內容設定為 TLS。
如果未啟用 TLS 作為驗證機制,伺服器便不能向傳送伺服器通告 X-STARTTLS 這個選項,因而不會載入任何憑證。如果已啟用 TLS 作為驗證機制,憑證選取程序即會繼續下一個步驟。 - 憑證選取程序從接收連接器組態中擷取網域全名 (FQDN) 值。如果接收連接器上的 FQDN 值為
null
,則會擷取伺服器的實際 FQDN。 - 憑證選取程序在本機電腦憑證儲存區中搜尋符合 FQDN 的憑證。如果找不到憑證,伺服器便不會通告 X-STARTTLS、不會載入任何憑證,而且會在應用程式記錄檔中記錄事件識別碼 12014。
- 憑證選取程序在憑證儲存區中搜尋所有具有相符 FQDN 的憑證。憑證選取程序會以清單的形式列出所有合格的憑證。合格的憑證必須符合下列準則:
- 憑證是 X.509 第 3 版或更新版本的憑證。
- 憑證具備關聯的私密金鑰。
- [主旨] 或 [其他主旨名稱] 欄位包含步驟 3 中所擷取的 FQDN。
- 已針對安全通訊端層 (SSL)/TLS 用途啟用憑證。尤其,已使用 Enable-ExchangeCertificate 指令程式對此憑證啟用 SMTP 服務。
- 如果在這些檢查之後找不到合格的憑證,伺服器便不會通告 X-STARTTLS、不會載入任何憑證,而且會在應用程式記錄檔中記錄事件識別碼 12014。
- 從合格憑證中,根據下列順序選擇最佳憑證:
- 依最近的 Valid from 日期,排序合格的憑證。Valid from 是憑證中的第 1 版欄位。
- 使用此清單中找到的第一個有效的公開金鑰基礎結構 (PKI) 憑證。
- 如果找不到有效的 PKI 憑證,則會使用第一個自行簽署憑證。
- 系統檢查憑證,以查看其是否已過期。系統會將憑證內容中的 Valid to 欄位與目前的日期和時間做比較。如果憑證尚未過期,則會通告 STARTTLS。如果憑證已過期,即會在應用程式記錄檔中記錄事件識別碼 12016,但仍會通告 STARTTLS。
相關資訊
如需如何針對其他 TLS 案例選取憑證的相關資訊,請參閱下列主題:
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.