選擇輸入 STARTTLS 憑證

 

適用版本： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間： 2011-04-27

在下列案例中需要選擇輸入 STARTTLS 憑證：

• SMTP 主機向 Edge Transport Server 要求傳輸層安全性 (TLS)。向 Edge Transport Server 要求 TLS 的主機可以是其他任何 SMTP 主機。這同時適用於「網域安全性」案例。如需「網域安全性」的詳細資訊，請參閱了解網域安全性。

• SMTP 用戶端 (例如 Microsoft Outlook Express) 向 Hub Transport Server 要求 TLS。

• 面向網際網路的 Hub Transport Server 向 Edge Transport Server 要求 TLS。

在建立 SMTP 工作階段時，接收伺服器會啟動憑證選取程序，以判斷要在 TLS 交涉中使用的憑證。傳送伺服器也會執行憑證選取程序。如需該程序的詳細資訊，請參閱選擇輸出匿名 TLS 憑證。

本主題說明輸入 STARTTLS 的憑證選取程序。本主題中所述的所有步驟都要在接收伺服器上執行。下圖顯示此程序的步驟。

選擇輸入 STARTTLS 憑證

1. 建立 SMTP 工作階段後，Microsoft Exchange 呼叫載入憑證的程序。

2. 憑證載入作業檢查與工作階段連接的接收連接器，以查看 AuthMechanism 內容的值是否已設定為 TLS。您可以使用 Set-ReceiveConnector 指令程式，設定接收連接器上的 AuthMechanism 內容。您也可以在特定接收連接器的 [驗證] 索引標籤上選取 [傳輸層安全性 (TLS)]，以將 AuthMechanism 內容設定為 TLS。

   如果未啟用 TLS 作為驗證機制，伺服器便不能向傳送伺服器通告 X-STARTTLS 這個選項，因而不會載入任何憑證。如果已啟用 TLS 作為驗證機制，憑證選取程序即會繼續下一個步驟。

3. 憑證選取程序從接收連接器組態中擷取網域全名 (FQDN) 值。如果接收連接器上的 FQDN 值為 null，則會擷取伺服器的實際 FQDN。

4. 憑證選取程序在本機電腦憑證儲存區中搜尋符合 FQDN 的憑證。如果找不到憑證，伺服器便不會通告 X-STARTTLS，不會載入任何憑證，而且會在應用程式記錄檔中記錄事件識別碼 12014。

5. 憑證選取程序在憑證儲存區中搜尋所有具有相符 FQDN 的憑證。憑證選取程序會以清單的形式列出所有合格的憑證。合格的憑證必須符合下列準則：

   • 憑證是 X.509 第 3 版或更新版本的憑證。

   • 憑證具備關聯的私密金鑰。

   • 「主旨」或「主旨替代名稱」欄位包含在步驟 3 中擷取的 FQDN。

   • 已針對 SSL/TLS 的使用啟用憑證。尤其，已使用 Enable-ExchangeCertificate 指令程式，對此憑證啟用 SMTP 服務。

6. 如果在這些檢查之後找不到合格的憑證，伺服器便不會通告 X-STARTTLS、不會載入任何憑證，而且會在應用程式記錄檔中記錄事件識別碼 12014。

7. 從合格憑證中，根據下列順序選擇最佳憑證：

   1. 依最近的 Valid from 日期排序合格憑證。Valid from 是憑證上的第 1 版欄位。

   2. 使用此清單中找到的第一個有效的公開金鑰基礎結構 (PKI) 憑證。

   3. 如果找不到有效的 PKI 憑證，則會使用第一個自行簽署憑證。

8. 系統檢查憑證，以查看其是否已過期。系統會將憑證內容中的 Valid to 欄位與目前的日期和時間做比較。如果憑證尚未過期，則會通告 STARTTLS。如果憑證已過期，即會在應用程式記錄檔中記錄事件識別碼 12016，但仍會通告 STARTTLS。

 © 2010 Microsoft Corporation. 著作權所有，並保留一切權利。