Seleção de certificados TLS anônimos de entrada
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2011-01-19
A seleção de um certificado TLS anônimo de entrada ocorre nos seguintes cenários:
Sessões SMTP entre servidores de Transporte de Borda e servidores de Transporte de Hub para autenticação
Sessões SMTP entre servidores de Transporte de Hub para criptografia usando somente chaves públicas
Para comunicação entre servidores de Transporte de Hub, TLS anônimo e as chaves públicas de certificados são usadas para criptografar a sessão. Mas a autenticação seguinte é a autenticação Kerberos. Quando uma sessão SMTP é estabelecida, o servidor de destino inicia um processo de seleção de certificado para determinar o certificado usado na negociação de TLS. O servidor de origem também executa um processo de seleção de certificados. Para obter mais informações sobre esse processo, consulte Seleção de certificados TLS anônimos de saída.
Este tópico descreve o processo de seleção de certificados TLS anônimos de entrada. Todas as etapas são executadas no servidor de recebimento. A figura a seguir mostra as etapas desse processo.
Seleção de um certificado TLS anônimo de entrada
Quando a sessão SMTP é estabelecida, o Microsoft Exchange chama um processo para carregar os certificados.
Na função de carregamento do certificado, o Conector de Recebimento ao qual a sessão está conectada é verificado para confirmar se a propriedade AuthMechanism está definida como
ExchangeServer
. Você pode definir a propriedade AuthMechanism no Conector de Recebimento usando o cmdlet Set-ReceiveConnector. Também é possível definir a propriedade AuthMechanism comoExchangeServer
selecionando Autenticação do Exchange Server na guia Autenticação de um Conector de Recebimento específico.Se o
ExchangeServer
não estiver habilitado como um mecanismo de autenticação, o servidor não informará X-ANONYMOUSTLS ao servidor de envio na sessão SMTP e nenhum certificado será carregado. SeExchangeServer
estiver habilitado como um mecanismo de autenticação, o processo de seleção de certificados continuará na próxima etapa.O Microsoft Exchange consulta o serviço de diretório do Active Directory para recuperar a impressão digital do certificado no servidor. O atributo msExchServerInternalTLSCert no objeto de servidor armazena a impressão digital do certificado.
Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for
null
, o Microsoft Exchange não informará X-ANONYMOUSTLS e nenhum certificado será carregado.Dica
Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for
null
durante a inicialização do serviço de Transporte do Microsoft Exchange, em vez de durante uma sessão de protocolo SMTP, a ID de Evento 12012 será registrada no log de Aplicativos.Se for localizada uma impressão digital, o processo de seleção do certificado procura no repositório de certificados do computador local um certificado que corresponda à impressão digital. Se um certificado não é localizado, o servidor não anuncia X-ANONYMOUSTLS, nenhum certificado é carregado e a ID de Evento 12013 é registrada no log de Aplicativos.
Depois que um certificado é carregado a partir de um repositório de certificados, é feita uma verificação para confirmar se ele não expirou. O campo Valid to do certificado é comparado à data e hora atuais. Se o certificado tiver expirado, a ID de Evento 12015 será registrada no log de Aplicativos. Mas o processo de seleção de certificado não falha e prossegue com as verificações restantes.
O certificado é verificado para confirmar se ele é o mais recente no repositório de certificados do computador local. Como parte desta verificação, uma lista de domínios é construída para possíveis domínios de certificados. A lista de domínios baseia-se na seguinte configuração do computador:
Nome de domínio totalmente qualificado (FQDN), como, por exemplo, mail.contoso.com
Nome do host, como, por exemplo, EdgeServer01
FQDN físico, como, por exemplo, EdgeServer01.contoso.com
Nome do host físico, como, por exemplo, EdgeServer01
Dica
Se o servidor estiver configurado como um cluster ou em um computador que esteja executando o Balanceamento de Carga do Microsoft Windows, a seguinte chave de registro será verificada, em vez da configuração DnsFullyQualifiedDomainName:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName
Depois que a lista de domínios for criada, o processo de seleção de certificados verificará se todos os certificados no repositório de certificados têm um FQDN correspondente. Nessa lista, o processo de seleção de certificado identifica uma lista de certificados qualificados. Os certificados qualificados devem atender aos seguintes critérios:
O certificado é um X.509 versão 3 ou um certificado de uma versão posterior.
O certificado possui uma chave particular associada.
Os campos Assunto ou Nome Alternativo do Assunto contêm o FQDN recuperado na etapa 6.
O certificado é habilitado para uso com SSL/TLS. Mais especificamente, o serviço SMTP foi habilitado para este certificado com o cmdlet Enable-ExchangeCertificate.
Dentre os certificados qualificados, o melhor é selecionado com base nesta seqüência:
Classifique os certificados qualificados pela data Valid from mais recente. Valid from é o campo Versão 1 no certificado.
O primeiro certificado de infra-estrutura de chave pública (PKI) válido encontrado nessa lista é usado.
Se não for encontrado nenhum certificado de PKI válido, será usado o primeiro certificado autoassinado.
Depois que o melhor certificado tiver sido determinado, outra verificação será feita para determinar se sua impressão digital corresponde ao certificado armazenado no atributo msExchServerInternalTLSCert. Se for correspondente, o certificado será usado para X-AnonymousTLS. Se não for correspondente, a ID de Evento 1037 será registrada no log de Aplicativos. No entanto, isso não causa falha em X-AnonymousTLS.
Para obter mais informações
Para obter mais informações sobre como os certificados são selecionados para outros cenários TLS, consulte os seguintes tópicos: