Freigeben über


Auswahl von eingehenden STARTTLS-Zertifikaten

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2011-01-19

Die Auswahl eines eingehenden STARTTLS-Zertifikats geschieht in den folgenden Fällen:

  • SMTP-Hosts (Simple Mail Transfer Protocol) fordern TLS (Transport Layer Security) für Edge-Transport-Server an. Der Host, der TLS für den Edge-Transport-Server anfordert, kann ein beliebiger SMTP-Host sein. Dies kennzeichnet auch das Domänensicherheitsszenario. Weitere Informationen zu Domänensicherheit finden Sie unter Planen der Domänensicherheit.

  • SMTP-Clients, wie etwa Microsoft Outlook Express, erfordern TLS für Hub-Transport-Server.

  • Mit dem Internet verbundene Hub-Transport-Server fordern TLS für einen Edge-Transport-Server an.

Beim Aufbau einer SMTP-Sitzung leitet der empfangende Server einen Zertifikatsauswahlprozess ein, um zu bestimmen, welches Zertifikat in der TLS-Aushandlung verwendet werden soll. Der sendende Server führt ebenfalls einen Zertifikatsauswahlprozess aus. Weitere Informationen zu diesem Vorgang finden Sie unter Auswahl von ausgehenden anonymen TLS-Zertifikaten.

In diesem Thema wird der Zertifikatsauswahlprozess für eingehende STARTTLS beschrieben. Alle in diesem Thema beschriebenen Schritte werden auf dem empfangenden Server ausgeführt. In der folgenden Abbildung sind die Schritte dieses Vorgangs dargestellt:

Auswahl eines eingehenden STARTTLS-Zertifikats

Auswahl eines eingehenden STARTTLS-Zertifikats

  1. Wenn die SMTP-Sitzung eingerichtet wird, ruft Microsoft Exchange einen Prozess zum Laden der Zertifikate auf.

  2. In der Zertifikatladefunktion wird der Empfangsconnector, mit dem die Sitzung verbunden ist, überprüft, um festzustellen, ob die Eigenschaft AuthMechanism auf den Wert TLS festgelegt ist. Die Eigenschaft AuthMechanism auf dem Empfangsconnector kann mithilfe des Cmdlets Set-ReceiveConnector festgelegt werden. Außerdem kann die Eigenschaft AuthMechanism auf TLS festgelegt werden, indem auf der Registerkarte Authentifizierung eines bestimmten Empfangsconnectors Transport Security Layer (TLS) ausgewählt wird.

    Wenn TLS nicht als Authentifizierungsmechanismus aktiviert ist, kündigt der Server X-STARTTLS nicht als Option gegenüber dem sendenden Server an, und es wird kein Zertifikat geladen. Wenn TLS als Authentifizierungsmechanismus aktiviert ist, fährt der Zertifikatsauswahlprozess mit dem nächsten Schritt fort.

  3. Der Zertifikatsauswahlprozess ruft den FQDN-Wert (Fully Qualified Domain Name) aus der Konfiguration des Empfangsconnectors ab. Wenn der FQDN-Wert auf dem Empfangsconnector null ist, wird der physikalische FQDN des Servers abgerufen.

  4. Der Zertifikatsprozess durchsucht den Zertifikatsspeicher des lokalen Computers nach Zertifikaten, die mit dem FQDN übereinstimmen. Wenn kein Zertifikat gefunden wird, kündigt der Server X-STARTTLS nicht an, es wird kein Zertifikat geladen, und die Ereignis-ID 12014 wird im Anwendungsprotokoll protokolliert.

  5. Der Zertifikatsauswahlprozess durchsucht den Zertifikatsspeicher nach allen Zertifikaten, die einen passenden FQDN aufweisen. Der Zertifikatsauswahlprozess identifiziert aus dieser Liste eine Liste der in Betracht kommenden Zertifikate. Die in Betracht kommenden Zertifikate müssen die folgenden Kriterien erfüllen:

    • Bei dem Zertifikat handelt es sich um ein Zertifikat der Version X.509, Version 3 oder höher.

    • Das Zertifikat weist einen zugeordneten privaten Schlüssel auf.

    • Die Felder Antragstellername oder Subjektalternativname enthalten den FQDN, der in Schritt 3 abgerufen wurde.

    • Das Zertifikat ist für die Verwendung durch SSL/TLS (Secure Sockets Layer/Transport Layer Security) aktiviert. Insbesondere wurde der SMTP-Dienst mithilfe des Cmdlets Enable-ExchangeCertificate für dieses Zertifikat aktiviert.

  6. Wenn bei diesen Prüfungen keine in Betracht kommenden Zertifikate gefunden werden, kündigt der Server X-STARTTLS nicht an, es wird kein Zertifikat geladen, und die Ereignis-ID 12014 wird im Anwendungsprotokoll protokolliert.

  7. Unter den in Betracht kommenden Zertifikaten wird das beste Zertifikat basierend auf der folgenden Sequenz ausgewählt:

    • Die in Betracht kommenden Zertifikate werden nach dem neuesten Gültig ab-Datum sortiert. Gültig ab ist ein Feld der Version 1 auf dem Zertifikat.

    • Es wird das erste gültige PKI-Zertifikat (Public Key Infrastructure) verwendet, das in der Liste gefunden wird.

    • Wenn keine gültigen PKI-Zertifikate gefunden werden, wird das erste selbst signierte Zertifikat verwendet.

  8. Das Zertifikat wird überprüft, um festzustellen, ob es abgelaufen ist. Das Feld Gültig bis in den Zertifikatseigenschaften wird mit dem aktuellen Datum und der aktuellen Uhrzeit verglichen. Wenn das Zertifikat nicht abgelaufen ist, wird STARTTLS angekündigt. Wenn das Zertifikat abgelaufen ist, wird die Ereignis-ID 12016 im Anwendungsprotokoll protokolliert, STARTTLS wird jedoch weiterhin angekündigt.

Weitere Informationen

Weitere Informationen über die Weise, in der Zertifikate für andere TLS-Szenarien verwendet werden, finden Sie unter den folgenden Themen: