Freigeben über

Auswahl von ausgehenden anonymen TLS-Zertifikaten

GILT FÜR:yes-img-162016 yes-img-192019 yes-img-seSubscription Edition

Wichtig

Microsoft Exchange Server 2016 und Microsoft Exchange Server 2019 endet der Support am 14. Oktober 2025. Um die Unterstützung zu erhalten, müssen Sie ein Upgrade durchführen. Weitere Informationen finden Sie unter Ende des Supports für Exchange 2016 und Exchange Server 2019.

Die Auswahl eines ausgehenden anonymen TLS-Zertifikats (Transport Layer Security) erfolgt in den folgenden Szenarien:

  • SMTP-Sitzungen (Simple Mail Transfer Protocol) zwischen Microsoft Edge-Transport-Servern und Postfachservern für die Authentifizierung
  • SMTP-Sitzungen zwischen Postfachservern

Für die Kommunikation zwischen Postfachservern werden anonymes TLS und die öffentlichen Schlüssel aus Zertifikaten verwendet, um die Sitzung zu verschlüsseln. Sobald die Sitzung verschlüsselt wurde, findet die Kerberos-Authentifizierung zwischen den Servern statt. Wenn eine SMTP-Sitzung eingerichtet wird, initiiert der Empfangende Server einen Zertifikatauswahlprozess, um zu bestimmen, welches Zertifikat in der TLS-Aushandlung verwendet werden soll. Der sendenden Server führt auch einen Zertifikatauswahlprozess aus. Weitere Informationen zu diesem Prozess finden Sie unter Auswahl von eingehenden anonymen TLS-Zertifikaten.

In diesem Artikel werden die Schritte beschrieben, die beim Auswahlprozess für ausgehende anonyme TLS-Zertifikate erforderlich sind. Diese Schritte werden auf dem Sendeserver ausgeführt, die je nachdem variieren können, ob es sich bei dem sendenden Server um einen Microsoft Edge-Transport-Server oder einen Postfachserver handelt. Die folgende Abbildung zeigt die Schritte für Postfachserver und Microsoft Edge-Transportserver als Sendenden Server:

Screenshot: Auswahlprozess für ausgehendes anonymes TLS-Zertifikat

Die im vorherigen Diagramm dargestellten Schritte werden hier erläutert:

  1. Wenn eine SMTP-Sitzung von einem Postfachserver oder Microsoft Edge-Transport-Server zum Senden von E-Mails eingerichtet wird, ruft Microsoft Exchange einen Prozess zum Laden der Zertifikate auf. Beim Laden des Zertifikats müssen einige obligatorische Überprüfungen auf dem sendenden Server implementiert werden, je nachdem, ob der sendende Server der Postfachserver oder der Microsoft Edge-Transport-Server ist.

    • Überprüfungen auf einem Postfachserver

      1. InternalTransportCertificateThumbprint ist nicht NULL: Standardmäßig ist das selbstsignierte Exchange-Zertifikat für einen SMTP-Dienst aktiviert, und der Transportdienst verwendet dieses Zertifikat für die TLS-Kommunikation. Durch Ausführen des folgenden Befehls können Sie sicherstellen, dass das InternalTransportCertificateThumbprint-Attribut nicht NULL ist und Informationen enthält, und die spezifischen zertifikatbezogenen Informationen überprüfen, die Exchange für die interne Kommunikation verwendet:

        Get-TransportService <ServerName> | FL Name, InternalTransportCertificateThumbprint

        Hinweis

        Wenn Sie einem neuen Exchange-Zertifikat einen SMTP-Dienst zuweisen, werden Sie von exchange aufgefordert, das vorhandene interne Transportzertifikat zu überschreiben. Aufgrund einer Gültigkeitsdauer von 5 Jahren empfiehlt es sich, weiterhin das selbstsignierte Standardzertifikat für die interne TLS-Kommunikation zu verwenden.

      2. Der Wert des DeliveryType-Attributs ist auf SmtpRelayWithinAdSitetoEdge festgelegt: Um dies sicherzustellen, können Sie den folgenden Befehl ausführen:

        Get-FrontendTransportService | Get-Queue

        Hinweis

        Die vorstehenden Bedingungen müssen erfüllt sein. Andernfalls verwendet der Sendenden Postfachserver kein anonymes TLS, und es wird kein Zertifikat geladen. Daher müssen diese Bedingungen erfüllt sein, damit der Prozess zum nächsten Schritt (Abfragen des Active Directory-Diensts durch Microsoft Exchange) übergehen kann.

    • Überprüfungen auf einem Microsoft Edge-Transport-Server

      1. InternalTransportCertificateThumbprint ist nicht NULL: Standardmäßig ist das selbstsignierte Exchange-Zertifikat für einen SMTP-Dienst aktiviert, und der Transportdienst verwendet dieses Zertifikat für die TLS-Kommunikation. Durch Ausführen des folgenden Befehls können Sie sicherstellen, dass das InternalTransportCertificateThumbprint-Attribut nicht NULL ist und Informationen enthält, und die spezifischen zertifikatbezogenen Informationen überprüfen, die Exchange für die interne Kommunikation verwendet:

        Get-TransportService <ServerName> | FL Name, InternalTransportCertificateThumbprint

        Hinweis

        Wenn Sie einem neuen Exchange-Zertifikat einen SMTP-Dienst zuweisen, werden Sie von exchange aufgefordert, das vorhandene interne Transportzertifikat zu überschreiben. Aufgrund einer Gültigkeitsdauer von 5 Jahren empfiehlt es sich, weiterhin das selbstsignierte Standardzertifikat für die interne TLS-Kommunikation zu verwenden.

      2. ExchangeServer AuthMechanism ist für den Sendeconnector des Microsoft Edge-Transport-Servers aktiviert. Um dies sicherzustellen, können Sie den folgenden Befehl ausführen:

        Get-SendConnector <Name of the Send Connector> | FL Name, SmartHostAuthMechanism

      3. Sendeconnector, mit dem die SMTP-Sitzung verbunden ist: Der Sendeconnector wird überprüft, um zu bestimmen, ob die SmartHost-Adressraumeigenschaft "- -" enthält.

        Hinweis

        Die vorstehenden Überprüfungen/Bedingungen müssen erfüllt sein. Andernfalls verwendet der Sendenden Microsoft Edge-Transport-Server kein anonymes TLS, und es wird kein Zertifikat geladen. Daher müssen diese Bedingungen erfüllt sein, damit der Prozess zum nächsten Schritt (Abfragen des Active Directory-Diensts durch Microsoft Exchange) übergehen kann.

  2. Microsoft Exchange fragt den Active Directory-Dienst ab, um den Fingerabdruck des Zertifikats auf dem Server abzurufen. Das Attribut msExchServerInternalTLSCert für das Serverobjekt speichert den Fingerabdruck des Zertifikats. Wenn das Attribut msExchServerInternalTLSCert nicht gelesen werden kann oder wenn der Wert während der SMTP-Sitzung NULL ist, kündigt Microsoft Exchange X-ANONYMOUSTLS nicht an, und es wird kein Zertifikat geladen. Wenn das Attribut msExchServerInternalTLSCert nicht gelesen werden kann oder wenn der Wert beim Start des Microsoft Exchange-Transportdiensts NULL ist, wird die Ereignis-ID 12012 im Anwendungsprotokoll protokolliert.

  3. Wird ein Fingerabdruck gefunden, durchsucht der Zertifikatsauswahlprozess den Zertifikatspeicher des lokalen Computers nach einem Zertifikat, das dem Fingerabdruck entspricht. Wenn das Zertifikat nicht gefunden wird, kündigt der Server X-ANONYMOUSTLS nicht an, kein Zertifikat wird geladen, und die Ereignis-ID 12013 wird im Anwendungsprotokoll protokolliert.

  4. Nachdem ein Zertifikat aus dem Zertifikatspeicher geladen wurde, wird es auf seine Gültigkeit geprüft. Der Inhalt des Felds Valid to des Zertifikats wird mit dem aktuellen Datum und der aktuellen Uhrzeit verglichen. Wenn das Zertifikat abgelaufen ist, wird die Ereignis-ID 12015 im Anwendungsprotokoll protokolliert. Der Zertifikatsauswahlprozess schlägt jedoch nicht fehl, und es wird anonymes TLS angekündigt.

    Wichtig

    Wenn das Zertifikat abgelaufen ist, müssen Sie das Zertifikat erneuern, unabhängig davon, ob der Zertifikatsauswahlprozess fehlschlägt oder erfolgreich abgeschlossen wird. Informationen zum Verlängern des Zertifikats finden Sie unter Erneuern eines Exchange Server Zertifikats.

Weitere Informationen

Weitere Informationen zur Auswahl von Zertifikaten für andere TLS-Szenarien finden Sie in den folgenden Artikeln: