Sélection de certificats TLS anonymes sortants
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-04-25
La sélection d’un certificat TLS (Transport Layer Security) sortant se produit dans les scénarios suivants :
des sessions SMTP (Simple Mail Transfer Protocol) entre des serveurs de transport Edge et des serveurs de transport Hub pour authentification ;
des sessions SMTP entre des serveurs de transport Hub pour le chiffrement uniquement à l'aide des clés publiques.
Pour la communication entre les serveurs de transport Hub, le TLS anonyme et les clés publiques des certificats permettent de chiffrer la session. Mais l’authentification suivante est l’authentification Kerberos. Après qu'une session SMTP a été ouverte, le serveur de réception lance un processus de sélection de certificat pour déterminer le certificat à utiliser dans la négociation TLS. Le serveur de réception exécute également un processus de sélection de certificat. Pour plus d'informations sur ce processus, consultez la rubrique Sélection de certificats TLS anonymes entrants.
Cette rubrique décrit le processus de sélection pour des certificats TLS anonymes sortants. Toutes les procédures sont exécutées sur le serveur d’envoi. La figure suivante présente les étapes de ce processus.
Notes
Pendant le chargement initial du certificat, le processus de sélection de certificat sortant est différent pour le rôle serveur de transport Edge et celui du rôle serveur de transport Hub. La figure suivante représente le point de départ pour chaque rôle serveur.
Sélection d’un certificat TLS anonyme sortant
Envoi à partir d’un serveur de transport Hub
Après qu'une session SMTP a été ouverte à partir d’un serveur de transport Hub ou Edge, Microsoft Exchange appelle un processus pour charger les certificats.
Le processus de chargement de certificat est différent selon que la session SMTP est initiée à partir d’un serveur de transport Hub ou d'un serveur de transport Edge.
Sur un serveur de transport Hub Les contrôles suivants sont effectués :
Le connecteur d’envoi auquel la session est connectée est contrôlé pour voir si la propriété SmartHostAuthMechanism est configurée pour
ExchangeServer
. Vous pouvez définir la propriété SmartHostAuthMechanism sur le connecteur d’envoi à l'aide de la cmdlet Set-SendConnector. Vous pouvez également définir la propriété SmartHostAuthMechanism surExchangeServer
en sélectionnant Authentification Exchange Server dans la page Configurer l'authentification d'un hôte actif d’un connecteur d’envoi donné. Pour ouvrir la page Configurer l'authentification d'un hôte actif, cliquez sur Modifier de l’onglet Réseau de la page de propriétés du connecteur d’envoi.La propriété DeliveryType du message est contrôlée pour déterminer si elle est définie sur une valeur de
SmtpRelayWithinAdSitetoEdge
. Vous pouvez afficher la propriété DeliveryType en exécutant la cmdlet Get-Queue avec l’argument de format de liste (| FL
).Ces deux conditions doivent être remplies. Si
ExchangeServer
n'est pas activé comme mécanisme d'authentification ou si la propriété DeliveryType n’est pas définie surSmtpRelayWithinAdSitetoEdge
, le serveur de transport Hub d’envoi n’utilise pas de TLS anonyme et aucun certificat n'est chargé. Si les deux conditions sont remplies, le processus de sélection de certificat passe à l’étape 3.
Sur un serveur de transport Edge Les contrôles suivants sont effectués :
Le connecteur d’envoi auquel la session est connectée est contrôlé pour voir si la propriété SmartHostAuthMechanism est configurée pour
ExchangeServer
. Comme indiqué précédemment dans cette rubrique, vous pouvez définir la propriété SmartHostAuthMechanism sur le connecteur d’envoi à l'aide de la cmdlet Set-SendConnector. Vous pouvez également définir la propriété SmartHostAuthMechanism surExchangeServer
en sélectionnant Authentification Exchange Server dans la page Configurer l'authentification d'un hôte actif d’un connecteur d’envoi donné. Pour ouvrir la page Configurer l'authentification d'un hôte actif, cliquez sur Modifier de l’onglet Réseau de la page de propriétés du connecteur d’envoi.Le connecteur d’envoi auquel la session est connectée est contrôlé pour déterminer si la propriété d'espace d'adressage SmartHost contient « - - ».
Ces deux conditions doivent être remplies. Si
ExchangeServer
n'est pas activé comme mécanisme d'authentification ou si la propriété d'espace d'adressage ne contient pas « - - », le serveur de transport Hub d’envoi n’utilise pas de TLS anonyme et aucun certificat n'est chargé. Si les deux conditions sont remplies, le processus de sélection de certificat passe à l’étape 3.
Microsoft Exchange interroge le service d’annuaire Active Directory pour récupérer l’empreinte du certificat sur le serveur. L’attribut msExchServerInternalTLSCert sur l’objet serveur stocke l’empreinte du certificat.
Si l’attribut msExchServerInternalTLSCert ne peut pas être lu ou si la valeur est
null
, Microsoft Exchange n’annonce pas X-ANONYMOUSTLS dans la session SMTP et aucun certificat n’est chargé.Notes
Si l’attribut msExchServerInternalTLSCert ne peut pas être lu ou si la valeur est
null
pendant le démarrage du service de transport Microsoft Exchange, et non pendant la session SMTP, l’ID d’événement 12012 est consigné dans le journal des applications.Si une empreinte de certificat est trouvée, le processus de sélection de certificat recherche dans le magasin de certificats de l'ordinateur local un certificat correspondant à l’empreinte. S'il ne trouve pas le certificat, le serveur n'annonce pas X-ANONYMOUSTLS, aucun certificat n'est chargé et l'ID d'événement 12013 est consigné dans le journal des applications.
Après le chargement d’un certificat à partir du magasin de certificats, la date d’expiration du certificat est contrôlée. Le champ Valide jusqu'au du certificat est comparé aux date et heure système actuelles. Si le certificat a expiré, l'ID d'événement 12015 est consigné dans le journal des applications. Cependant le processus de sélection de certificat n’échoue pas et continue avec les contrôles restants.
Le certificat est contrôlé pour déterminer s’il est le plus récent dans le magasin de certificats de l’ordinateur local. Dans le cadre de ce contrôle, une liste de domaines est créée pour les domaines de certificats potentiels. La liste de domaines est basée sur la configuration d’ordinateur suivante :
nom de domaine complet (FQDN), tel que mail.contoso.com ;
nom d’hôte, tel que EdgeServer01 ;
FQDN physique, tel que EdgeServer01.contoso.com ;
nom d’hôte physique, tel que EdgeServer01.
Notes
Si le serveur est configuré comme cluster ou pour un ordinateur exécutant l’équilibrage de charge Microsoft Windows, la clé de registre suivante est contrôlée au lieu du paramètre DnsFullyQualifiedDomainName :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName
Après la création d’une liste de domaines, le processus de sélection de certificat recherche dans le magasin de certificats tous les certificats dont le nom de domaine complet correspond. Dans cette liste, le processus de sélection de certificat identifie une liste de certificats admissibles. Des certificats admissibles doivent remplir les critères suivants :
Le certificat est conforme à la norme X.509, version 3 ou ultérieure.
Une clé privée est associée au certificat.
Le champ Objet ou Autre nom de l'objet contient le FQDN extrait à l'étape 6.
Le certificat est activé pour une utilisation SSL (Secure Sockets Layer)/TLS. Pus spécifiquement, le service SMTP a été activé pour ce certificat à l'aide de la cmdlet Enable-ExchangeCertificate.
Parmi les certificats admissibles, le meilleur est sélectionné sur la base de la séquence suivante :
Triez les certificats admissibles sur la date Valide à partir du la plus récente. Le champ Valide à partir du est un champ de version 1 sur le certificat.
Le premier certificat d'infrastructure à clé publique (PKI) valide trouvé dans cette liste est utilisé.
Si aucun certificat PKI n'est trouvé, le premier certificat auto-signé est utilisé.
Une fois le meilleur certificat déterminé, un autre contrôle est effectué pour déterminer si son empreinte correspond au certificat qui est stocké dans l’attribut msExchServerInternalTLSCert. Si le certificat correspond, le certificat est utilisé pour X-AnonymousTLS. S’il ne correspond pas, l'ID d'événement 1037 est consigné dans le journal des applications. Cependant, ceci n’entraîne pas l’échec de X-AnonymousTLS.
Pour plus d'informations
Pour plus d'informations sur la procédure de sélection de certificats pour d'autres scénarios TLS, consultez les rubriques suivantes :