Поделиться через


Выбор исходящих анонимных TLS-сертификатов

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2009-12-07

В этом разделе описывается процесс выбора исходящих анонимных сертификатов TLS в Microsoft Exchange Server 2010. Выбор исходящего анонимного сертификата TLS происходит в следующих сценариях.

  • Проверка подлинности во время сеансов SMTP между пограничными транспортными серверами и транспортными серверами-концентраторами

  • шифрование данных только с помощью открытых ключей в ходе сеансов SMTP между транспортными серверами-концентраторами.

При взаимодействии транспортных серверов-концентраторов передаваемые в ходе сеанса данные шифруются с помощью анонимных TLS-сертификатов и открытых ключей сертификатов. При создании сеанса SMTP получающий сервер инициирует процесс выбора сертификата, чтобы определить, какой сертификат следует использовать в ходе согласования TLS. Получающий сервер также осуществляет выбор сертификата. Дополнительные сведения об этом процессе см. в разделе Выбор входящих анонимных сертификатов TLS.

Отправка с транспортного сервера-концентратора или пограничного транспортного сервера

Все шаги по выбору исходящего анонимного сертификата TLS выполняются на отправляющем сервере. Они показаны на рисунке.

Выбор исходящего анонимного TLS-сертификата

Выбор исходящего анонимного TLS-сертификата

  1. При создании сеанса SMTP между транспортным сервером-концентратором и пограничным транспортным сервером Microsoft Exchange вызывает процесс загрузки сертификатов.

    ПримечаниеПримечание.
    Во время первоначальной загрузки сертификата процесс выбора сертификата различается на пограничном транспортном сервере и транспортном сервере-концентраторе. На рисунке показана начальная точка для каждой роли сервера.
  2. Процесс загрузки сертификатов зависит от того, был ли сеанс SMTP инициирован с транспортного сервера-концентратора или пограничного транспортного сервера.

    На транспортном сервере-концентраторе   Выполняются следующие проверки.

    1. Проверяется соединитель приема, к которому подключен сеанс, чтобы узнать, настроено ли свойство SmartHostAuthMechanism для ExchangeServer. Свойство SmartHostAuthMechanism для соединителя отправки можно настроить с помощью командлета Set-SendConnector. Чтобы установить для свойства SmartHostAuthMechanism значение ExchangeServer, можно также выбрать параметр Проверка подлинности сервера Exchange Server на странице Настроить параметры проверки подлинности промежуточных узлов определенного соединителя отправки. Чтобы открыть страницу Настроить параметры проверки подлинности промежуточных узлов, на вкладке Сеть страницы свойств соединителя отправки нажмите кнопку Изменить.

    2. Свойство сообщения DeliveryType проверяется с целью определения того, установлено ли для него значение SmtpRelayWithinAdSitetoEdge. Чтобы просмотреть свойство DeliveryType, выполните командлет Get-Queue с аргументом формата списка (| Format-List).

      Требуется соблюдение следующих условий. Если ExchangeServer не включен в качестве метода проверки подлинности или для свойства DeliveryType не установлено значение SmtpRelayWithinAdSitetoEdge, отправляющий транспортный сервер-концентратор не использует анонимный протокол TLS, а сертификаты не загружаются. Если оба условия выполняются, процесс выбора сертификата переходит к действию 3.

    На пограничном транспортном сервере   Выполняются следующие проверки.

    1. Проверяется соединитель приема, к которому подключен сеанс, чтобы узнать, настроено ли свойство SmartHostAuthMechanism для ExchangeServer. Как указано выше, свойство SmartHostAuthMechanism для соединителя отправки можно настроить с помощью командлета Set-SendConnector. Чтобы установить для свойства SmartHostAuthMechanism значение ExchangeServer, можно также выбрать параметр Проверка подлинности сервера Exchange Server на странице Настроить параметры проверки подлинности промежуточных узлов определенного соединителя отправки. Чтобы открыть страницу Настроить параметры проверки подлинности промежуточных узлов, на вкладке Сеть страницы свойств соединителя отправки нажмите кнопку Изменить.

    2. Соединитель отправки, к которому подключен сеанс, проверяется с целью определения того, содержит ли свойство адресного пространства SmartHost символ «- -».

      Требуется соблюдение следующих условий. Если ExchangeServer не включен в качестве метода проверки подлинности или адресное пространство не содержит символ «- -», отправляющий транспортный сервер-концентратор не использует анонимный протокол TLS, а сертификаты не загружаются. Если оба условия соблюдены, процесс выбора сертификата переходит к шагу 3.

  3. Сервер Microsoft Exchange запрашивает у Служба каталогов Active Directory отпечаток сертификата, хранящийся на сервере. Отпечаток сертификата хранится в атрибуте msExchServerInternalTLSCert объекта сервера.

    Если не удалось прочитать атрибут msExchServerInternalTLSCert или его значение равно null, сервер Microsoft Exchange не объявляет X-ANONYMOUSTLS в сеансе SMTP, а сертификаты не загружаются.

    ПримечаниеПримечание.
    Если не удалось прочитать атрибут msExchServerInternalTLSCert или его значение равно null при запуске службы транспорта Microsoft Exchange, а не во время сеанса SMTP, в журнале приложений регистрируется событие 12012.
  4. Если отпечаток удалось найти, процесс выбора сертификата ищет в хранилище сертификатов на локальном компьютере сертификат, соответствующий отпечатку. Если не удалось найти такой сертификат, сервер не объявляет X-ANONYMOUSTLS, сертификаты не загружаются и в журнале приложений регистрируется событие 12013.

  5. После загрузки сертификата из хранилища сертификатов выполняется проверка его срока действия. Для этого в сертификате поле Valid to сравнивается с текущими датой и временем. Если срок действия сертификата истек, в журнале приложений регистрируется событие 12015, При этом процесс выбора сертификата не прерывается и выполнение оставшихся проверок продолжается.

  6. Сертификат проверяется с целью определения того, является ли он самым новым в хранилище сертификатов локального компьютера. При этом для составляется список доменов потенциальных сертификатов. Он включает следующие сведения:

    • полное доменное имя, такое как mail.contoso.com;

    • имя узла, такое как EdgeServer01;

    • физическое полное доменное имя, такое как EdgeServer01.contoso.com;

    • физическое имя узла, такое как EdgeServer01.

      ПримечаниеПримечание.
      Если на сервере запущена балансировка нагрузки Microsoft Windows, вместо параметра DnsFullyQualifiedDomainName выполняется проверка следующего раздела реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\{GUID}\ClusterName
  7. После создания списка доменов процесс выбора сертификата ищет в хранилище сертификатов все сертификаты, имеющие соответствующее полное доменное имя. Из них выбираются пригодные сертификаты, которые должны соответствовать указанным ниже критериям.

    • Сертификат должен иметь версию X.509 3 или более позднюю.

    • С сертификатом должен быть сопоставлен закрытый ключ.

    • В поле «Имя субъекта» или «Дополнительное имя субъекта» необходимо указать имя FQDN, полученное на шаге 6.

    • Для сертификата должна быть включена поддержка SSL/TLS. В частности, для этого сертификата служба SMTP включена с помощью командлета Enable-ExchangeCertificate.

  8. Лучший сертификат выбирается из списка пригодных сертификатов в соответствии с описанной ниже процедурой.

    1. Выполните сортировку действительных сертификатов по самой поздней дате Valid from (дате начала действия). Параметр Valid from является полем первой версии в сертификате.

    2. Используется первый действительный сертификат инфраструктуры открытых ключей (PKI), найденный в этом списке.

    3. Если допустимые сертификаты PKI не были найдены, используется первый самозаверяющий сертификат.

  9. После определения наилучшего сертификата выполняется проверка соответствия его отпечатка сертификату, который хранится в атрибуте msExchServerInternalTLSCert. Если соответствие установлено, этот сертификат используется для X-ANONYMOUSTLS. Если соответствие не установлено, в журнале приложений регистрируется событие 1037. Тем не менее, это не приводит к сбою X-ANONYMOUSTLS.

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.