入站 STARTTLS 证书的选择

 

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2011-04-27

在下列方案中需要选择入站 STARTTLS 证书：

• SMTP 主机通过边缘传输服务器请求传输层安全性 (TLS)。向边缘传输服务器请求 TLS 的主机可以是任何其他 SMTP 主机。本节还介绍了域安全方案。有关域安全的详细信息，请参阅了解域安全性。

• SMTP 客户端（如 Microsoft Outlook Express）向集线器传输服务器请求 TLS。

• 面向 Internet 的集线器传输服务器向边缘传输服务器请求 TLS。

建立 SMTP 会话之后，接收服务器将启动证书选择过程，以确定在 TLS 协商期间要使用的证书。发送服务器也执行证书选择过程。有关该过程的详细信息，请参阅出站匿名 TLS 证书选择。

本主题说明入站 STARTTLS 的证书选择过程。本主题中介绍的所有步骤均在接收服务器上执行。下图说明此过程的步骤。

入站 STARTTLS 证书的选择

1. 建立 SMTP 会话之后，Microsoft Exchange 将调用加载证书的进程。

2. 在加载证书的功能中，将检查会话连接到的接收连接器，确定 AuthMechanism 属性的值是否设置为 TLS。您可以使用 Set-ReceiveConnector cmdlet 在接收连接器上设置 AuthMechanism 属性。也可以通过选择指定接收连接器的“身份验证”选项卡上的“传输层安全性(TLS)”，将 AuthMechanism 属性设置为 TLS。

   如果未启用 TLS 作为身份验证机制，则服务器不会将 X-STARTTLS 作为选项向发送服务器公布，并且不会加载任何证书。如果已启用 TLS 作为身份验证机制，证书选择过程将继续执行下一步。

3. 证书选择过程从接收连接器配置检索完全限定的域名 (FQDN) 值。如果接收连接器上的 FQDN 值为 null，则将检索服务器的物理 FQDN。

4. 证书选择过程在本地计算机的证书存储中搜索与 FQDN 相匹配的证书。如果未找到证书，则服务器不会公布 X-STARTTLS，不会加载任何证书，并在应用程序日志中记录事件 ID 12014。

5. 证书选择过程在证书存储中搜索所有具有相匹配的 FQDN 的证书。证书选择过程从此列表中确定合格证书的列表。合格证书必须满足下列条件：

   • 证书是 X.509 版本 3 或更高版本的证书。

   • 证书具有关联的私钥。

   • “主题”或“主题备用名称”字段包含在步骤 3 中检索到的 FQDN。

   • 为使用 SSL/TLS 启用证书。具体来说，已使用 Enable-ExchangeCertificate cmdlet 为此证书启用了 SMTP 服务。

6. 如果在执行上述检查之后仍未找到合格证书，则服务器不会公布 X-STARTTLS，不会加载任何证书，并在应用程序日志中记录事件 ID 12014。

7. 根据以下顺序从合格证书中选择最佳证书：

   1. 按照最近的 Valid from 日期对合格证书进行排序。Valid from 是证书上的“版本 1”字段。

   2. 使用从此列表中找到的第一个有效公钥基础结构 (PKI) 证书。

   3. 如果未找到有效的 PKI 证书，将使用第一个自签名证书。

8. 检查证书，以确定证书是否已过期。将证书属性中的 Valid to 字段与当前日期和时间进行比较。如果证书尚未过期，则将公布 STARTTLS。如果证书已过期，将在应用程序日志中记录事件 ID 12016，但是仍会公布 STARTTLS。

 © 2010 Microsoft Corporation。保留所有权利。