Auswahl von ausgehenden anonymen TLS-Zertifikaten
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-04-25
Die Auswahl eines ausgehenden anonymen TLS-Zertifikats (Transport Layer Security) tritt in den folgenden Fällen ein:
Bei SMTP-Sitzungen (Simple Mail Transfer Protocol) zwischen Edge-Transport-Servern und Hub-Transport-Server zwecks Authentifizierung
Bei SMTP-Sitzungen zwischen Hub-Transport-Servern, wenn für die Verschlüsselung nur öffentliche Schlüssel verwendet werden
Für die Kommunikation zwischen Hub-Transport-Servern werden anonyme TLS-Zertifikate und öffentliche Schlüssel von Zertifikaten zum Verschlüsseln der Sitzung verwendet. Die nächste Authentifizierung ist allerdings die Kerberos-Authentifizierung. Beim Aufbau einer SMTP-Sitzung leitet der empfangende Server einen Zertifikatsauswahlprozess ein, um zu bestimmen, welches Zertifikat in der TLS-Aushandlung verwendet werden soll. Der empfangende Server führt ebenfalls einen Zertifikatsauswahlprozess durch. Weitere Informationen zu diesem Vorgang finden Sie unter Auswahl von eingehenden anonymen TLS-Zertifikaten.
In diesem Thema wird der Auswahlprozess für ausgehende anonyme TLS-Zertifikate erläutert. Alle Schritte werden auf dem sendenden Server ausgeführt. In der folgenden Abbildung sind die Schritte dieses Vorgangs dargestellt:
Hinweis
Während des erstmaligen Ladens des Zertifikats ist der Auswahlprozess für ausgehende Zertifikate für die Serverfunktionen Edge-Transport und Hub-Transport unterschiedlich. Die nachstehende Abbildung zeigt den Ausgangspunkt für jede Serverfunktion.
Auswahl eines ausgehenden anonymen TLS-Zertifikats
Senden von einem Hub-Transport-Server
Wenn die SMTP-Sitzung von einem Hub-Transport- oder einem Edge-Transport-Server ausgebaut wird, ruft Microsoft Exchange einen Prozess zum Laden der Zertifikate auf.
Dieser Prozess zum Laden von Zertifikaten ist davon abhängig, ob die SMTP-Sitzung von einem Hub-Transport- oder einem Edge-Transport-Server initiiert wird.
Auf einem Hub-Transport-Server Es werden die folgenden Prüfungen durchgeführt:
Der Sendeconnector, mit dem die Sitzung verbunden ist, wird darauf geprüft, ob für
ExchangeServer
die Eigenschaft SmartHostAuthMechanism konfiguriert ist. Sie können die SmartHostAuthMechanism-Eigenschaft auf dem Sendeconnector mithilfe des Cmdlets Set-SendConnector festlegen. Sie können die SmartHostAuthMechanism-Eigenschaft auch aufExchangeServer
festlegen, indem Sie auf der Seite Smarthost-Authentifizierungseinstellungen konfigurieren eines gegebenen Sendeconnectors die Option Exchange Server-Authentifizierung auswählen. Klicken Sie zum Öffnen der Seite Smarthost-Authentifizierungseinstellungen konfigurieren auf der Registerkarte Netzwerk der Seite Eigenschaften des Sendeconnectors auf Ändern.Die Eigenschaft DeliveryType der Nachricht wird geprüft, um festzustellen, ob diese auf einen Wert von
SmtpRelayWithinAdSitetoEdge
festgelegt wurde. Sie können die Eigenschaft DeliveryType anzeigen, indem Sie das Cmdlet Get-Queue mit dem Argument Liste formatieren (| FL
) ausführen.Hierbei müssen beide Bedingungen zutreffen. Wenn
ExchangeServer
als Authentifizierungsmechanismus nicht aktiviert ist oder wenn die Eigenschaft DeliveryType nicht aufSmtpRelayWithinAdSitetoEdge
festgelegt wurde, verwendet der sendende Hub-Transport-Server kein anonymes TLS, und es wird kein Zertifikat geladen. Wenn beide Bedingungen zutreffen, fährt der Zertifikatsauswahlprozess mit Schritt 3 fort.
Auf einem Edge-Transport-Server Es werden die folgenden Prüfungen durchgeführt:
Der Sendeconnector, mit dem die Sitzung verbunden ist, wird darauf geprüft, ob für
ExchangeServer
die Eigenschaft SmartHostAuthMechanism konfiguriert ist. Wie bereits an früherer Stelle in diesem Thema erwähnt, können Sie die Eigenschaft SmartHostAuthMechanism für den Sendeconnector mithilfe des Cmdlets Set-SendConnector festlegen. Sie können die Eigenschaft SmartHostAuthMechanism auch aufExchangeServer
festlegen, indem Sie auf der Seite Smarthost-Authentifizierungseinstellungen konfigurieren eines gegebenen Sendeconnectors die Option Exchange Server-Authentifizierung auswählen. Klicken Sie zum Öffnen der Seite Smarthost-Authentifizierungseinstellungen konfigurieren auf der Registerkarte Netzwerk der Seite Eigenschaften des Sendeconnectors auf Ändern.Der Sendeconnector, mit dem die Sitzung verbunden ist, wird geprüft, um festzustellen, ob die Adressraumeigenschaft SmartHost die Zeichenfolge “- -“ enthält.
Hierbei müssen beide Bedingungen zutreffen. Wenn
ExchangeServer
nicht als Authentifizierungsmechanismus aktiviert ist und wenn der Adressraum die Zeichenfolge “- -“ nicht enthält, verwendet der Edge-Transport-Server kein anonymes TLS, und es wird kein Zertifikat geladen. Wenn beide Bedingungen zutreffen, fährt der Zertifikatsauswahlprozess mit Schritt 3 fort.
Microsoft Exchange fragt den Verzeichnisdienst Active Directory ab, um den Fingerabdruck des Zertifikats auf dem Server abzurufen. Das Attribut msExchServerInternalTLSCert für das Serverobjekt speichert den Fingerabdruck des Zertifikats.
Wenn das Attribut msExchServerInternalTLSCert nicht gelesen werden kann oder wenn der Wert
null
ist, wird X-ANONYMOUSTLS in der SMTP-Sitzung von Microsoft Exchange nicht angekündigt, und es wird kein Zertifikat geladen.Hinweis
Wenn das Attribut msExchServerInternalTLSCert nicht gelesen werden kann oder dessen Wert beim Starten des Microsoft Exchange-Transportdiensts und nicht während der SMTP-Sitzung
null
ist, wird Ereignis-ID 12012 im Anwendungsprotokoll protokolliert.Wird ein Fingerabdruck gefunden, durchsucht der Zertifikatsauswahlprozess den Zertifikatspeicher des lokalen Computers nach einem Zertifikat, das dem Fingerabdruck entspricht. Wenn kein entsprechendes Zertifikat gefunden werden kann, kündigt der Server X-ANONYMOUSTLS nicht an, es wird kein Zertifikat geladen, und Ereignis-ID 12013 wird im Anwendungsprotokoll protokolliert.
Nachdem ein Zertifikat aus dem Zertifikatspeicher geladen wurde, wird es auf seine Gültigkeit geprüft. Der Inhalt des Felds Gültig bis des Zertifikats wird mit dem aktuellen Datum und der aktuellen Uhrzeit verglichen. Wenn das Zertifikat abgelaufen ist, wird Ereignis-ID 12015 im Anwendungsprotokoll protokolliert. Der Zertifikatsauswahlprozess schlägt jedoch nicht fehl, und die verbleibenden Prüfungen werden ausgeführt.
Das Zertifikat wird darauf geprüft, ob es das neueste im Zertifikatspeicher des lokalen Computers ist. Als Bestandteil der Prüfung wird eine Domänenliste für potenzielle Zertifikatdomänen erstellt. Diese Domänenliste basiert auf der folgenden Computerkonfiguration:
Dem vollqualifizierten Domänennamen (FQDN), wie mail.contoso.com
Dem Hostnamen wie EdgeServer01
Dem physischen FQDN wie EdgeServer01.contoso.com
Dem physischen Hostnamen wie EdgeServer01
Hinweis
Wenn der Server als Cluster konfiguriert ist oder bei einem Computer, auf dem der Microsoft Windows-Lastenausgleich ausgeführt wird, wird anstelle der Einstellung DnsFullyQualifiedDomainName der folgende Registrierungsschlüssel geprüft:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName
Nach der Erstellung der Domänenliste führt der Zertifikatsauswahlprozess ein Suche durch, um alle Zertifikate im Zertifikatspeicher zu finden, die einen passenden FQDN aufweisen. Der Zertifikatsauswahlprozess identifiziert aus dieser Liste eine Liste der in Betracht kommenden Zertifikate. Die in Betracht kommenden Zertifikate müssen die folgenden Kriterien erfüllen:
Bei dem Zertifikat handelt es sich um ein Zertifikat der Version X.509, Version 3 oder höher.
Das Zertifikat weist einen zugeordneten privaten Schlüssel auf.
Die Felder Antragstellername oder Subjektalternativname enthalten den FQDN, der in Schritt 6 abgerufen wurde.
Das Zertifikat ist für die Verwendung durch SSL/TLS (Secure Sockets Layer/Transport Layer Security) aktiviert. Insbesondere wurde der SMTP-Dienst mithilfe des Cmdlets Enable-ExchangeCertificate für dieses Zertifikat aktiviert.
Unter den in Betracht kommenden Zertifikaten wird das beste Zertifikat basierend auf der folgenden Sequenz ausgewählt:
Die in Betracht kommenden Zertifikate werden nach dem neuesten Gültig ab-Datum sortiert. Gültig ab ist ein Feld der Version 1 auf dem Zertifikat.
Es wird das erste gültige PKI-Zertifikat (Public Key Infrastructure) verwendet, das in der Liste gefunden wird.
Wenn keine gültigen PKI-Zertifikate gefunden werden, wird das erste selbst signierte Zertifikat verwendet.
Nachdem das beste Zertifikat ermittelt wurde, wird eine weitere Prüfung durchgeführt, um festzustellen, ob der Fingerabdruck dem Zertifikat entspricht, das im Attribut msExchServerInternalTLSCert gespeichert ist. Bei einer Entsprechung wird dieses Zertifikat für X-AnonymousTLS verwendet. Wenn keine Entsprechung vorliegt, wird Ereignis-ID 1037 im Anwendungsprotokoll protokolliert. Dies führt jedoch nicht dazu, dass X-AnonymousTLS fehlschlägt.
Weitere Informationen
Weitere Informationen über die Weise, in der Zertifikate für andere TLS-Szenarien verwendet werden, finden Sie unter den folgenden Themen: