Selección de certificados TLS anónimos salientes

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-04-25

La selección de un certificado de Seguridad de nivel de transporte (TLS) anónimo saliente se produce en las siguientes situaciones:

  • Sesiones de Protocolo simple de transferencia de correo (SMTP) entre servidores de transporte perimetral y servidores de transporte de concentradores para la autenticación

  • Sesiones SMTP entre servidores de transporte de concentradores para el cifrado utilizando sólo claves públicas

En la comunicación entre servidores de transporte de concentradores se utilizan TLS anónimos y las claves públicas de los certificados utilizados para cifrar la sesión. Sin embargo, la siguiente autenticación es la autenticación Kerberos. Cuando se establece una sesión SMTP, el servidor receptor inicia un proceso de selección de certificado para determinar el certificado que se utilizará en la negociación TLS. El servidor de recepción realiza también un proceso de selección de certificado. Para obtener más información acerca del proceso, consulte Selección de certificados anónimos de entrada TLS.

En este tema se describe el proceso de selección de certificados TLS anónimos salientes. Realice todos los pasos en el servidor de envío. La siguiente figura muestra los pasos de este proceso.

Nota

Durante la carga inicial del certificado, el proceso de selección de certificado saliente es diferente para la función del servidor Transporte perimetral y la función del servidor Transporte de concentradores. En las siguientes imágenes se muestra el punto de inicio de cada función de servidor.

Selección de un certificado TLS anónimo saliente

Selección de un certificado TLS anónimo saliente

Envío desde un servidor de transporte de concentradores

  1. Cuando se establece la sesión SMTP desde un servidor de transporte de concentradores o un servidor de transporte perimetral, Microsoft Exchange inicia un proceso para cargar los certificados.

  2. El proceso de carga de certificados depende de si la sesión SMTP se inicia en un servidor de transporte de concentradores o en un servidor de transporte perimetral.

    En un servidor de transporte de concentradores     Se realizan las siguientes comprobaciones:

    1. Se comprueba el conector de envío al que está conectada la sesión para ver si la propiedad SmartHostAuthMechanism está configurada para ExchangeServer. Puede establecer la propiedad SmartHostAuthMechanism del conector de envío utilizando el cmdlet Set-SendConnector. También puede establecer la propiedad SmartHostAuthMechanism para ExchangeServer seleccionando Autenticación de servidor de Exchange en la página Configuración de autenticación de host inteligente de un conector de envío determinado. Para abrir la página Configuración de autenticación de host inteligente, haga clic en Cambiar en la ficha Red de la página de propiedades del conector de envío.

    2. Se comprueba la propiedad DeliveryType del mensaje para determinar si está establecida en un valor de SmtpRelayWithinAdSitetoEdge. Puede ver la propiedad DeliveryType ejecutando el cmdlet Get-Queue con el argumento de lista de formato ( | FL).

      Deben cumplirse ambas condiciones. Si no se ha habilitado ExchangeServer como método de autenticación o si la propiedad DeliveryType no se ha establecido en SmtpRelayWithinAdSitetoEdge, el servidor de transporte de concentradores no utiliza el TLS anónimo y no se carga ningún certificado. Si se cumplen ambas condiciones, el proceso de selección de certificado continúa en el paso 3.

    En un servidor de transporte perimetral     Se realizan las siguientes comprobaciones:

    1. Se comprueba el conector de envío al que está conectada la sesión para ver si la propiedad SmartHostAuthMechanism está configurada para ExchangeServer. Tal como se indicó anteriormente en este tema, puede establecer la propiedad SmartHostAuthMechanism del conector de envío utilizando el cmdlet Set-SendConnector. También puede establecer la propiedad SmartHostAuthMechanism para ExchangeServer seleccionando Autenticación de servidor de Exchange en la página Configuración de autenticación de host inteligente de un conector de envío determinado. Para abrir la página Configuración de autenticación de host inteligente, haga clic en Cambiar en la ficha Red de la página de propiedades del conector de envío.

    2. Se comprueba el conector de envío al que está conectada la sesión para determinar si la propiedad de espacio de dirección SmartHost contiene "- -".

      Deben cumplirse ambas condiciones. Si no se ha habilitado ExchangeServer como método de autenticación y el espacio de dirección no contiene "- -", el servidor de transporte perimetral no utiliza el TLS anónimo y no se carga ningún certificado. Si se cumplen ambas condiciones, el proceso de selección de certificado continúa en el paso 3.

  3. Microsoft Exchange consulta al servicio de directorio de Active Directory para revisar la huella digital del certificado en el servidor. El atributo msExchServerInternalTLSCert del objeto servidor almacena la huella digital del certificado.

    Si no puede leerse el atributo msExchServerInternalTLSCert o si el valor es null, Microsoft Exchange no anuncia X-ANONYMOUSTLS en la sesión SMTP y no se carga ningún certificado.

    Nota

    Si no puede leerse el atributo msExchServerInternalTLSCert o si el valor es null durante el arranque del servicio de transporte de Microsoft Exchange en lugar de durante la sesión SMTP, se registra el Id. de evento 12012 en el registro de la aplicación.

  4. Si se encuentra una huella digital, el proceso de selección de certificado busca en el almacén de certificados del equipo local uno que coincida con la huella digital. Si no encuentra el certificado, el servidor no anuncia X-ANONYMOUSTLS, no se carga ningún certificado y se registra el Id. de evento 12013 en el registro de la aplicación.

  5. Una vez cargado el certificado desde el almacén, éste se comprueba para ver si ha expirado. El campo Valid to del certificado se compara con la fecha y hora actual. Si el certificado ha expirado, se registra el Id. de evento 12015 en el registro de la aplicación Sin embargo, no hay ningún error en el proceso de selección de certificado y continúa con las demás comprobaciones.

  6. Se comprueba el certificado para ver si es el último del almacén de certificados del equipo local. Como parte de esta comprobación, se crea una lista de dominios para posibles dominios de certificado. La lista de dominios se basa en la siguiente configuración de equipo:

    • Nombre de dominio completo (FQDN) como, por ejemplo, mail.contoso.com

    • Nombre de host como, por ejemplo, EdgeServer01

    • Nombre de dominio completo físico como, por ejemplo, EdgeServer01.contoso.com

    • Nombre de host físico como, por ejemplo, EdgeServer01

    Nota

    Si el servidor está configurado como un clúster o para un equipo que esté ejecutando el equilibrio de carga de Microsoft Windows, se comprueba la siguiente clave del Registro en lugar del parámetro DnsFullyQualifiedDomainName: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Una vez creada la lista de dominios, el proceso de selección de certificado realiza una búsqueda para localizar todos los certificados del almacén cuyo FQDN coincida. Desde esta lista, el proceso de selección de certificado identifica una lista de certificados elegibles. Los certificados elegibles deben cumplir con los siguientes criterios:

    • El certificado es un certificado X.509 versión 3 o de una versión posterior.

    • El certificado tiene una clave privada asociada.

    • Los campos Asunto o Nombre alternativo de asunto contienen el FQDN que se obtuvo en el paso 6.

    • El certificado está habilitado para el uso de Nivel de sockets seguros (SSL)/TLS. En concreto, el servicio SMTP se ha habilitado para este certificado utilizando el cmdlet Enable-ExchangeCertificate.

  8. Entre los certificados elegibles, se selecciona el mejor en base a la siguiente secuencia:

    • Ordenar los certificados elegibles por la fecha más reciente de Valid from. Valid from es un campo Versión 1 en el certificado.

    • Se utiliza la primera infraestructura de claves públicas (PKI) válida que se encuentra en esta lista.

    • Si no se encuentra ningún certificado PKI válido, se utiliza el primer certificado autofirmado.

  9. Una vez determinado el mejor certificado, se realiza otra comprobación para determinar si la huella digital coincide con el certificado almacenado en el atributo msExchServerInternalTLSCert. Si el certificado coincide, se utiliza para X-AnonymousTLS. Si no coincide, se registra el Id. de evento 1037 en el registro de la aplicación. Sin embargo, esto no provoca un error de X-AnonymousTLS.

Información adicional

Para obtener más información acerca de cómo se seleccionan los certificados para otros escenarios TLS, consulte los siguientes temas: