Selección de certificados STARTTLS entrantes

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2011-04-27

La selección de certificados STARTTLS entrantes se produce en las siguientes situaciones:

  • Los hosts SMTP solicitan seguridad de la capa de transporte (TLS) con servidores de transporte perimetral. El host que solicita TLS con el servidor de transporte perimetral puede ser cualquier otro host SMTP. Esto también se aplica al escenario de seguridad de dominio. Para obtener más información acerca de la seguridad de dominio, consulte Descripción de la seguridad de dominio (en inglés).

  • Los clientes SMTP, como Microsoft Outlook Express, solicitan TLS con los servidores de transporte de concentradores.

  • Los servidores de transporte de concentradores que tienen acceso a Internet solicitan TLS con el servidor de transporte perimetral.

Cuando se establece una sesión SMTP, el servidor receptor inicia un proceso de selección de certificado para determinar el certificado que se usará en la negociación TLS. El servidor de envío también lleva a cabo un proceso de selección de certificado. Para obtener más información acerca del proceso, consulte Selección de certificados TLS anónimos salientes.

En este tema se describe el proceso de selección de certificados para STARTTLS entrantes. Todos los pasos descritos en este tema se llevan a cabo en el servidor receptor. La siguiente figura muestra los pasos de este proceso.

Selección de un certificado STARTTLS entrante

Selección de un certificado STARTTLS entrante

  1. Cuando se establece la sesión SMTP, Microsoft Exchange llama a un proceso para cargar los certificados.

  2. En la función de cargar certificado, se comprueba el conector de recepción al que está conectado la sesión para saber si la propiedad AuthMechanism está establecida en un valor de TLS. Se puede establecer la propiedad AuthMechanism en el conector de recepción mediante el cmdlet Set-ReceiveConnector. También puede establecer la propiedad AuthMechanism en TLS seleccionando Seguridad de la capa de transporte (TLS) en la ficha Autenticación de un conector de recepción específico.

    Si TLS no está habilitada como un mecanismo de autenticación, el servidor no muestra X-STARTTLS como una opción al servidor de envío y no se carga ningún certificado. Si TLS está habilitado como mecanismo de autenticación, el proceso de selección de certificado procede con el siguiente paso.

  3. El proceso de selección de certificado recupera el valor del nombre de dominio completo (FQDN) de la configuración del conector de recepción. Si el valor FQDN del conector de recepción es null, se recupera el FQDN físico del servidor.

  4. El proceso de selección de certificado busca en el almacén de certificados del equipo local certificados que coincidan con el FQDN. Si no se encuentra un certificado, el servidor no muestra X-STARTTLS, no se carga ningún certificado y el Id. de evento 12014 se registra en el registro de aplicación.

  5. El proceso de selección de certificado busca todos los certificados del almacén de certificados que tengan un FQDN coincidente. Desde esta lista, el proceso de selección de certificado identifica una lista de certificados elegibles. Los certificados elegibles deben cumplir con los siguientes criterios:

    • El certificado es un certificado X.509 versión 3 o de una versión posterior.

    • El certificado tiene una clave privada asociada.

    • Los campos Asunto o Nombre alternativo de asunto contienen el FQDN que se obtuvo en el paso 3.

    • El certificado está habilitado para utilizar SSL/TLS. Concretamente, el servicio SMTP se ha habilitado para este certificado mediante el cmdlet Enable-ExchangeCertificate.

  6. Si no se encuentra ningún certificado elegible en estas comprobaciones, el servidor no muestra X-STARTTLS, no se carga ningún certificado y el Id. de evento 12014 se registra en el registro de aplicación.

  7. Entre los certificados elegibles, se selecciona el mejor en base a la siguiente secuencia:

    1. Ordenar los certificados elegibles por la fecha más reciente de Valid from. Valid from es un campo Versión 1 en el certificado.

    2. Se usa el primer certificado de infraestructura de clave pública (PKI) válido que se encuentra en esta lista.

    3. Si no se encuentra ningún certificado PKI válido, se usa el primer certificado autofirmado.

  8. Se comprueba la fecha de expiración del certificado. El campo Valid to de las propiedades del certificado se compara con la fecha y la hora actuales. Si el certificado no ha expirado, se muestra STARTTLS. Si el certificado ha expirado, se registra el Id. de evento 12016 en el registro de aplicación y se muestra STARTTLS.

 © 2010 Microsoft Corporation. Reservados todos los derechos.