Freigeben über

Auswahl eingehender STARTTLS-Zertifikate

GILT FÜR:yes-img-162016 yes-img-192019 yes-img-seSubscription Edition

Wichtig

Microsoft Exchange Server 2016 und Microsoft Exchange Server 2019 endet der Support am 14. Oktober 2025. Um die Unterstützung zu erhalten, müssen Sie ein Upgrade durchführen. Weitere Informationen finden Sie unter Ende des Supports für Exchange 2016 und Exchange Server 2019.

In diesem Artikel wird der Zertifikatauswahlprozess für eingehende STARTTLS beschrieben, der auf dem Empfangenden Server ausgeführt wird. Der StartTLS-Zertifikatsauswahlprozess für eingehenden Datenverkehr wird ausgelöst, wenn ein SMTP-Server (Simple Mail Transfer Protocol) versucht, eine sichere SMTP-Sitzung mit dem Microsoft Exchange-Postfachserver oder dem Microsoft Edge-Transportserver zu öffnen, sodass einer dieser Server als Empfangender Server fungiert und einen Zertifikatauswahlprozess initiiert, um zu bestimmen, welches Zertifikat in der TLS-Aushandlung verwendet werden soll.

Die folgende Abbildung zeigt die Schritte des Zertifikatsauswahlprozesses für eingehende STARTTLS:The following figures of the certificate selection process for inbound STARTTLS:

Screenshot: Schritte beim Auswählen eines starttls-Zertifikats für eingehenden Datenverkehr

Die im vorherigen Diagramm dargestellten Schritte werden hier erläutert:

  1. Wenn die SMTP-Sitzung eingerichtet ist, ruft Microsoft Exchange einen Prozess zum Laden der Zertifikate auf.

  2. In der Funktion "Zertifikat laden" wird der Empfangsconnector, mit dem die Sitzung verbunden ist, überprüft, um festzustellen, ob die AuthMechanism-Eigenschaft auf den Wert TLS festgelegt ist, indem der folgende Befehl ausgeführt wird:

    Get-ReceiveConnector -Identity <Receive Connector Identity> | fl AuthMechanism

    Wenn der Wert der AuthMechanism-Eigenschaft NULL ist, können Sie den Wert auf TLS festlegen, indem Sie den folgenden Befehl ausführen:

    $AuthMechanism = (Get-ReceiveConnector -Identity <Receive Connector Identity>).AuthMechanism
$AuthMechanism += "TLS"
Set-ReceiveConnector -Identity <Receive Connector Identity> -AuthMechanism $AuthMechanism

    Sie können den Wert der AuthMechanism-Eigenschaft auch auf TLS festlegen, indem Sie transport security layer (TLS) auf der Registerkarte Authentifizierung eines bestimmten Empfangsconnectors auswählen.

    Wenn TLS nicht als Authentifizierungsmechanismus aktiviert ist, kündigt der Server X-STARTTLS dem Sendenden Server in der SMTP-Sitzung nicht an, und es wird kein Zertifikat geladen.

  3. Der Zertifikatauswahlprozess ruft den Wert TlsCertificateName aus der Konfiguration des Empfangsconnectors ab, wenn Sie den folgenden Befehl ausführen:

    Get-ReceiveConnector -Identity <Receive Connector Identity> | fl TlsCertificateName

    Sie können den TlsCertificateName-Wert auch für den Empfangsconnector festlegen, indem Sie die folgenden Schritte ausführen:

    1. Abrufen des Fingerabdrucks eines gültigen SMTP-fähigen Drittanbieterzertifikats.

    2. Führen Sie den folgenden Befehl aus:

      $TLSCert = Get-ExchangeCertificate -Thumbprint <thumbprint retrieved in the previous step>
$TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)"
Set-ReceiveConnector -Identity <Receive Connector Identity> -TlsCertificateName $TlsCertName

  4. Wenn der TlsCertificateName-Wert für den Empfangsconnector NULL ist, wird der vollqualifizierte Domänenname (FQDN) abgerufen. Wenn der FQDN NULL ist, können Sie den FQDN-Wert festlegen.

    Führen Sie die folgenden Schritte aus, um den FQDN-Wert abzurufen oder festzulegen:

    1. Rufen Sie den FQDN-Wert ab, indem Sie den folgenden Befehl ausführen:

      Get-ReceiveConnector -Identity <Receive Connector Identity> | fl fqdn

    2. Legen Sie den FQDN-Wert fest, indem Sie den folgenden Befehl ausführen:

      Set-ReceiveConnector -Identity <Receive Connector Identity> -fqdn <fqdn value>

  5. Wenn der FQDN-Wert auf dem Empfangsconnector null ist, wird der physische FQDN des Servers abgerufen.

  6. Der Zertifikatspeicher des lokalen Computers wird nach Zertifikaten durchsucht, die mit TlsCertificateName/FQDN übereinstimmen. Wenn kein Zertifikat gefunden wird, kündigt der Server X-STARTTLS nicht an, kein Zertifikat wird geladen, und die Ereignis-ID 12014 wird im Anwendungsprotokoll protokolliert.

  7. Im Zertifikatspeicher wird eine Suche nach allen Zertifikaten implementiert, die über einen übereinstimmenden TlsCertificateName/FQDN verfügen. Aus dieser Liste wird eine Liste der berechtigten Zertifikate identifiziert. Diese berechtigten Zertifikate müssen die folgenden Kriterien erfüllen:

    • Das Zertifikat ist ein X.509 Version 3 oder ein Zertifikat höher.

    • Das Zertifikat weist einen zugeordneten privaten Schlüssel auf.

    • Das Feld Subject oder Alternativer Antragstellername enthält den TlsCertificateName/FQDN , der in früheren Schritten abgerufen wurde.

    • Das Zertifikat ist für die Verwendung von Secure Sockets Layer (SSL)/TLS aktiviert. Insbesondere wurde der SMTP-Dienst für dieses Zertifikat mithilfe des Enable-ExchangeCertificate Cmdlets aktiviert. Sie können überprüfen, ob der SMTP-Dienst aktiviert ist, indem Sie den folgenden Befehl ausführen, um ihre Werte abzurufen:

      Get-ExchangeCertificate -Thumbprint <value of the thumbprint> | fl Services

      Wenn Sie feststellen, dass der SMTP-Dienst nicht aktiviert wurde, können Sie den SMTP-Dienst manuell aktivieren, indem Sie den folgenden Befehl ausführen:

      Enable-ExchangeCertificate -Thumbprint <value of the thumbprint> -Services "SMTP"

      Hinweis

      Wenn für das Mit TlsCertificateName/FQDN übereinstimmende Zertifikat der SMTP-Dienst nicht aktiviert ist, wählt Exchange dieses Zertifikat weiterhin für STARTTLS aus, aber die TLS-Kommunikation schlägt zu einem späteren Zeitpunkt fehl.

  8. Wenn nach diesen Überprüfungen keine geeigneten Zertifikate gefunden werden, kann der Server X-STARTTLS ohne geladenes Zertifikat nicht ankündigen, und die Ereignis-ID 12014 wird im Anwendungsprotokoll protokolliert.

  9. Wenn berechtigte Zertifikate gefunden werden, wird das beste Zertifikat basierend auf der folgenden Sequenz ausgewählt:

    1. Die in Betracht kommenden Zertifikate werden nach dem neuesten Valid from-Datum sortiert. Gültig ab ist ein Feld "Version 1" im Zertifikat.
    2. Das erste gültige PKI-Zertifikat (Public Key Infrastructure), das in dieser Liste enthalten ist, wird verwendet.
    3. Wenn keine gültigen PKI-Zertifikate gefunden werden, wird das erste selbst signierte Zertifikat verwendet.

      1. Das Zertifikat wird überprüft, um festzustellen, ob es abgelaufen ist. Das Feld Valid to in den Zertifikatseigenschaften wird mit dem aktuellen Datum und der aktuellen Uhrzeit verglichen. Wenn das Zertifikat nicht abgelaufen ist, wird STARTTLS angekündigt. Wenn das Zertifikat abgelaufen ist, wird die Ereignis-ID 12016 im Anwendungsprotokoll protokolliert, aber STARTTLS wird weiterhin angekündigt.

        Wichtig

        Wenn das Zertifikat abgelaufen ist, müssen Sie das Zertifikat erneuern, unabhängig davon, ob STARTTLS angekündigt wird oder nicht. Informationen zum Verlängern des Zertifikats finden Sie unter Erneuern eines Exchange Server Zertifikats.

Festlegen des Werts für die FQDN-Eigenschaft

Führen Sie den folgenden Befehl aus, um den Wert für die FQDN-Eigenschaft festzulegen:

Set-ReceiveConnector -Identity <Receive Connector Identity> -fqdn <fqdn value>

Weitere Informationen

Weitere Informationen zur Auswahl von Zertifikaten für andere TLS-Szenarien finden Sie in den folgenden Artikeln: