Compartir a través de

Selección de certificados STARTTLS entrantes

SE APLICA A:yes-img-162016 yes-img-192019 yes-img-seSubscription Edition

Importante

Microsoft Exchange Server 2016 y Microsoft Exchange Server 2019 finalizarán el soporte técnico el 14 de octubre de 2025. Para mantener la compatibilidad, debe actualizar. Para obtener más información, vea Fin de la compatibilidad con Exchange 2016 y Exchange Server 2019.

En este artículo se describe el proceso de selección de certificados para STARTTLS entrante que se realiza en el servidor receptor. El proceso de selección de certificados STARTTLS entrante se desencadena cuando un servidor de protocolo simple de transferencia de correo (SMTP) intenta abrir una sesión SMTP segura con el servidor de buzones de Microsoft Exchange o el servidor de transporte Microsoft Edge para que cualquiera de estos servidores actúe como servidor receptor e inicie un proceso de selección de certificados para determinar qué certificado usar en la negociación TLS.

En la ilustración siguiente se muestran los pasos del proceso de selección de certificados para STARTTLS de entrada:

Captura de pantalla que muestra los pasos en el proceso de selección de un certificado starttls entrante.

Los pasos descritos en el diagrama anterior se explican aquí:

  1. Cuando se establece la sesión SMTP, Microsoft Exchange llama a un proceso para cargar los certificados.

  2. En la función "load certificate", el conector de recepción, al que está conectada la sesión, se comprueba para ver si la propiedad AuthMechanism está establecida en un valor de TLS mediante la ejecución del siguiente comando:

    Get-ReceiveConnector -Identity <Receive Connector Identity> | fl AuthMechanism

    Si el valor de la propiedad AuthMechanism es null, puede establecer el valor en TLS ejecutando el siguiente comando:

    $AuthMechanism = (Get-ReceiveConnector -Identity <Receive Connector Identity>).AuthMechanism
$AuthMechanism += "TLS"
Set-ReceiveConnector -Identity <Receive Connector Identity> -AuthMechanism $AuthMechanism

    También puede establecer el valor de la propiedad AuthMechanism en TLS seleccionando Capa de seguridad de transporte (TLS) en la pestaña Autenticación de un conector de recepción determinado.

    Si TLS no está habilitado como mecanismo de autenticación, el servidor no anuncia X-STARTTLS al servidor de envío en la sesión SMTP y no se carga ningún certificado.

  3. El proceso de selección de certificados recupera el valor TlsCertificateName de la configuración del conector de recepción al ejecutar el siguiente comando:

    Get-ReceiveConnector -Identity <Receive Connector Identity> | fl TlsCertificateName

    También puede establecer el valor tlsCertificateName en el conector de recepción realizando los pasos siguientes:

    1. Recuperar la huella digital de un certificado de terceros válido habilitado para SMTP.

    2. Ejecutar el siguiente comando:

      $TLSCert = Get-ExchangeCertificate -Thumbprint <thumbprint retrieved in the previous step>
$TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)"
Set-ReceiveConnector -Identity <Receive Connector Identity> -TlsCertificateName $TlsCertName

  4. Si el valor de TlsCertificateName en el conector de recepción es null, se recupera el nombre de dominio completo (FQDN). Si el FQDN es null, puede establecer el valor fqdn.

    Para recuperar o establecer el valor del FQDN, realice los pasos siguientes:

    1. Recupere el valor del FQDN mediante la ejecución del siguiente comando:

      Get-ReceiveConnector -Identity <Receive Connector Identity> | fl fqdn

    2. Para establecer el valor del FQDN, ejecute el siguiente comando:

      Set-ReceiveConnector -Identity <Receive Connector Identity> -fqdn <fqdn value>

  5. Si el valor FQDN del conector de recepción es null, se recupera el FQDN físico del servidor.

  6. Se busca en el almacén de certificados del equipo local certificados que coincidan con TlsCertificateName/FQDN. Si no se encuentra un certificado, el servidor no anuncia X-STARTTLS, no se carga ningún certificado y el identificador de evento 12014 se registra en el registro de aplicación.

  7. En el almacén de certificados, se implementa una búsqueda para todos los certificados que tienen un TlsCertificateName/FQDN coincidente. En esta lista, se identifica una lista de certificados aptos. Estos certificados aptos deben cumplir los siguientes criterios:

    • El certificado es un certificado X.509 versión 3 o posterior.

    • El certificado tiene una clave privada asociada.

    • El campo Subject o Subject Alternate Name contiene el tlsCertificateName/FQDN que se recuperó en pasos anteriores.

    • El certificado está habilitado para el uso de Capa de sockets seguros (SSL)/TLS; en concreto, el servicio SMTP se ha habilitado para este certificado mediante el Enable-ExchangeCertificate cmdlet . Para comprobar si el servicio SMTP está habilitado, ejecute el siguiente comando para recuperar sus valores:

      Get-ExchangeCertificate -Thumbprint <value of the thumbprint> | fl Services

      Si detecta que el servicio SMTP no se ha habilitado, puede habilitar manualmente el servicio SMTP mediante la ejecución del siguiente comando:

      Enable-ExchangeCertificate -Thumbprint <value of the thumbprint> -Services "SMTP"

      Nota:

      Si el certificado coincidente con TlsCertificateName/FQDN no tiene habilitado el servicio SMTP, Exchange seguirá eligiendo ese certificado para STARTTLS, pero se producirá un error en la comunicación TLS en una fase posterior.

  8. Si no se encuentra ningún certificado apto después de estas comprobaciones, el servidor no podrá anunciar X-STARTTLS sin cargar ningún certificado y el identificador de evento 12014 se registrará en el registro de aplicaciones.

  9. Si se encuentran certificados aptos, se selecciona el mejor certificado en función de la secuencia siguiente:

    1. Ordenar los certificados elegibles por la fecha más reciente de Valid from. Válido desde es un campo "Versión 1" en el certificado.
    2. Se usa el primer certificado de infraestructura de clave pública (PKI) válido que se encuentra en esta lista.
    3. Si no se encuentra ningún certificado PKI válido, se usa el primer certificado autofirmado.

      1. Se comprueba la fecha de expiración del certificado. El campo Valid to de las propiedades del certificado se compara con la fecha y la hora actuales. Si el certificado no ha expirado, se anuncia STARTTLS . Si el certificado ha expirado, el identificador de evento 12016 se registra en el registro de la aplicación, pero STARTTLS todavía se anuncia.

        Importante

        Si el certificado ha expirado, debe renovar el certificado independientemente de si STARTTLS se anuncia o no. Para obtener información sobre cómo renovar el certificado, consulte Renovación de un certificado de Exchange Server.

Establecimiento del valor de la propiedad FQDN

Para establecer el valor de la propiedad FQDN, ejecute el siguiente comando:

Set-ReceiveConnector -Identity <Receive Connector Identity> -fqdn <fqdn value>

Más información

Para obtener más información sobre cómo se seleccionan los certificados para otros escenarios de TLS, consulte los artículos siguientes: