Compartilhar via


Seleção de certificados STARTTLS de entrada

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2009-11-19

A seleção de um certificado STARTTLS de entrada ocorre nos seguintes cenários:

  • Hosts SMTP solicitam o protocolo TLS com servidores de Transporte de Borda. O host que solicita TLS com o servidor de Transporte de Borda pode ser qualquer outro host SMTP. Isso também acontece no cenário de Segurança de Domínio. Para obter mais informações sobre Segurança de Domínio, consulte Noções Básicas Sobre Segurança de Domínio.
  • Clientes SMTP, como o Microsoft Outlook Express, solicitam TLS com servidores de Transporte de Hub.
  • Servidores de Transporte de Hub voltados para a Internet solicitam TLS com um servidor de Transporte de Borda.

Quando uma sessão SMTP é estabelecida, o servidor de destino inicia um processo de seleção de certificado para determinar o certificado usado na negociação de TLS. O servidor de envio também executa um processo de seleção de certificados. Para obter mais informações sobre esse processo, consulte Seleção de certificados TLS anônimos de saída.

Este tópico descreve o processo de seleção de certificado para STARTTLS de entrada. Todas as etapas descritas neste tópico são realizadas no servidor de recebimento. A figura a seguir mostra as etapas desse processo.

Seleção de um certificado STARTTLS de entrada
Seleção de um certificado STARTTLS de entrada

  1. Quando a sessão SMTP é estabelecida, o Microsoft Exchange chama um processo para carregar os certificados.
  2. Na função de carregamento do certificado, o Conector de Recebimento ao qual a sessão está conectada é verificado para confirmar se a propriedade AuthMechanism está definida como TLS. É possível definir a propriedade AuthMechanism no conector de recebimento usando-se o cmdlet Set-ReceiveConnector. Também é possível definir a propriedade AuthMechanism como TLS, selecionando-se Transport Security Layer (TLS) na guia Autenticação de um conector de Recebimento específico.
    Se o TLS não estiver habilitado como um mecanismo de autenticação, o servidor não anunciará X-STARTTLS como uma opção para o servidor de envio e nenhum certificado será carregado. Se TLS estiver habilitado como mecanismo de autenticação, o processo de seleção de certificado seguirá para a etapa seguinte.
  3. O processo de seleção de certificado recupera o valor do FQDN (nome de domínio totalmente qualificado) da configuração do conector de recebimento. Se o valor FQDN do conector de recebimento for null, o FQDN físico do servidor será recuperado.
  4. O processo de seleção de certificados pesquisa, no repositório de certificados do computador local, certificados que correspondam ao FQDN. Se nenhum certificado for localizado, o servidor não anunciará X-STARTTLS, nenhum certificado será carregado e a ID de Evento 12014 será registrada no log do aplicativo.
  5. O processo de seleção de certificados busca todos os certificados no repositório de certificados que possuam um FQDN correspondente. Nessa lista, o processo de seleção de certificado identifica uma lista de certificados qualificados. Os certificados qualificados devem atender aos seguintes critérios:
    • O certificado é um X.509 versão 3 ou um certificado de uma versão posterior.
    • O certificado possui uma chave particular associada.
    • Os campos Assunto ou Nome Alternativo do Assunto contêm o FQDN recuperado na etapa 3.
    • O certificado é habilitado para o uso de SSL/TLS. Especificamente, o serviço SMTP foi habilitado para esse certificado usando-se o cmdlet Enable-ExchangeCertificate.
  6. Se nenhum certificado qualificado for localizado após essa verificações, o servidor não anunciará X-STARTTLS, nenhum certificado será carregado e a ID de Evento 12014 será registrada no log do aplicativo.
  7. Dentre os certificados qualificados, o melhor é selecionado com base nesta seqüência:
    1. Classifique os certificados qualificados pela data de Valid from mais recente. Valid from é um campo de versão 1 no certificado.
    2. O primeiro certificado infraestrutura de chave pública (PKI) válido encontrado nessa lista é usado.
    3. Se não for encontrado nenhum certificado de PKI válido, será usado o primeiro certificado auto-assinado.
  8. O certificado será examinado para verificar se expirou. O campo Valid to nas propriedades do certificado é comparado com a data e a hora atuais. Se o certificado não tiver expirado, STARTTLS será anunciado. Se o certificado tiver expirado, a ID de Evento 12016 será registrada no log de Aplicativos, mas, ainda assim, STARTTLS será anunciado.