Selección de certificados anónimos de entrada TLS

  • Artículo

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2009-11-23

La selección de certificados anónimos de entrada TLS ocurre en los siguientes escenarios:

  • Sesiones SMTP entre servidores de transporte perimetral y servidores de transporte de concentradores para la autenticación

  • Sesiones SMTP entre servidores de transporte de concentradores para cifrado únicamente mediante claves públicas

Para la comunicación entre servidores de transporte de concentradores, se usan para cifrar la sesión TLS anónimos y las claves públicas de certificados. Se usa Kerberos para la autenticación. Cuando se establece una sesión SMTP, el servidor receptor inicia un proceso de selección de certificado para determinar el certificado que se usará en la negociación TLS. El servidor de envío también lleva a cabo un proceso de selección de certificado. Para obtener más información acerca del proceso, consulte Selección de certificados TLS anónimos salientes.

Este tema describe el proceso de selección para certificados anónimos de entrada TLS. Todos los pasos se realizan en el servidor de recepción. La siguiente figura muestra los pasos de este proceso.

Selección de un certificado anónimo de entrada TLS

Selección de un certificado anónimo de entrada TLS

  1. Cuando se ha establecido la sesión SMTP, Microsoft Exchange llama un proceso para cargar los certificados.

  2. En la función de cargar el certificado, el conector de recepción al que está conectada la sesión se comprueba para ver si la propiedad AuthMechanism se establece en un valor de ExchangeServer. Se puede establecer la propiedad AuthMechanism en el conector de recepción mediante el cmdlet Set-ReceiveConnector. También se puede establecer la propiedad AuthMechanism en ExchangeServer seleccionando Autenticación de Exchange Server en la ficha Autenticación de un conector de recepción específico.

    Si ExchangeServer no está habilitado como mecanismo de autenticación, el servidor no anuncia X-ANONYMOUSTLS al servidor de envío en la sesión SMTP y no se carga ningún certificado. Si ExchangeServer está habilitado como mecanismo de autenticación, el proceso de selección de certificado continúa hasta el siguiente paso.

  3. Microsoft Exchange envía una consulta a Active Directory para recuperar la huella digital del certificado del servidor. El atributo msExchServerInternalTLSCert del objeto de servidor almacena la huella digital del certificado.

    Si el atributo msExchServerInternalTLSCert no puede leerse o si el valor es null, Microsoft Exchange no anuncia X-ANONYMOUSTLS y no se carga ningún certificado.

    Nota

    Si el atributo msExchServerInternalTLSCert no puede leerse o si el valor es null durante el inicio del servicio de transporte Microsoft Exchange, el evento ID 12012 se registra en el registro de aplicación, en lugar de durante la sesión SMTP.

  4. Si se encuentra una huella digital, el proceso de selección de certificado busca en el almacén de certificados del equipo local un certificado que corresponda a la huella. Si no se encuentra el certificado, el servidor no anuncia X-ANONYMOUSTLS, no se carga ningún certificado, y el evento ID 12013 se registra en el registro de aplicación.

  5. Después de cargar un certificado desde el almacén de certificados, se examina para ver si ha caducado. El campo Valid to del certificado se compara con la hora y fecha actuales. Si el certificado ha expirado, el evento ID 12015 se registra en el registro de aplicación. En este caso, el proceso de selección del certificado no da error y continua con las comprobaciones restantes.

  6. El certificado se examina para ver si es el más reciente en el almacén de certificados del equipo local. Como parte de este examen, se crea una lista de dominios para los dominios de certificados potenciales. La lista de dominio está basada en la siguiente configuración del equipo:

    • Nombre de dominio completo (FQDN), como mail.contoso.com

    • Nombre de host, como EdgeServer01

    • FQDN físico, como EdgeServer01.contoso.com

    • Nombre de host físico, como EdgeServer01

      Nota

      Si el servidor está configurado como un clúster o para un equipo que está ejecutando el equilibrio de carga de Microsoft Windows, se examina la siguiente clave de registro en lugar del parámetro DnsFullyQualifiedDomainName: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Cuando la lista de dominios ya se ha creado, el proceso de selección de certificado examina para encontrar todos los certificados del almacén de certificados que tienen un FQDN que coincide. Desde esta lista, el proceso de selección de certificado identifica una lista de certificados elegibles. Los certificados elegibles deben cumplir con los siguientes criterios:

    • El certificado es un certificado X.509 versión 3 o de una versión posterior.

    • El certificado tiene una clave privada asociada.

    • Los campos Asunto o Nombre alternativo de asunto contienen el FQDN que se obtuvo en el paso 6.

    • El certificado está habilitado para el uso de Capa de sockets seguros (SSL)/TLS. En concreto, el servicio SMTP se ha habilitado para este certificado mediante el cmdlet Enable-ExchangeCertificate.

  8. Entre los certificados elegibles, se selecciona el mejor en base a la siguiente secuencia:

    1. Ordenar los certificados elegibles por la fecha más reciente de Valid from. Valid from es un campo Versión 1 en el certificado.

    2. Se usa la primera infraestructura de claves públicas (PKI) válida que se encuentra en esta lista.

    3. Si no se encuentra ningún certificado PKI válido, se usa el primer certificado autofirmado.

  9. Cuando se ha determinado cuál es el mejor certificado, se vuelve a examinar para determinar si su huella digital corresponde al certificado que está almacenado en el atributo msExchServerInternalTLSCert. Si el certificado es el correspondiente, se usa para X-AnonymousTLS. Si el certificado no es el correspondiente, el evento ID 1037 se registra en el registro de aplicación. Sin embargo, esto no causa el error de X-AnonymousTLS.

 © 2010 Microsoft Corporation. Reservados todos los derechos.