Sélection de certificats STARTTLS entrants

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2011-01-19

La sélection d'un certificat STARTTLS entrant se produit dans les scénarios suivants :

  • Des hôtes SMTP (Simple Mail Transfer Protocol) demandent un chiffrement TLS (Transport Layer Security) avec des serveurs de transport Edge. L'hôte qui demande un chiffrement TLS avec le serveur de transport Edge peut être tout autre hôte SMTP. Cette section décrit également le scénario de sécurité du domaine. Pour plus d'informations sur la sécurité du domaine, consultez la rubrique Planification de la sécurité de domaine.

  • Des clients SMTP, tels que Microsoft Outlook Express, demandent un chiffrement TLS avec les serveurs de transport Hub.

  • Des serveurs de transport Hub côté Internet demandent un chiffrement TLS avec un serveur de transport Edge.

Après qu'une session SMTP a été ouverte, le serveur de réception lance un processus de sélection de certificat pour déterminer le certificat à utiliser dans la négociation TLS. Le serveur d'envoi exécute également un processus de sélection de certificat. Pour plus d'informations sur ce processus, consultez la rubrique Sélection de certificats TLS anonymes sortants.

Cette rubrique décrit le processus de sélection de certificat pour une commande STARTTLS entrante. Toutes les étapes décrites dans cette rubrique sont exécutées sur le serveur de réception. La figure suivante présente les étapes de ce processus.

Sélection d'un certificat STARTTLS entrant

Sélection d'un certificat STARTTLS entrant

  1. Après qu'une session SMTP a été ouverte, Microsoft Exchange appelle une procédure pour charger les certificats.

  2. Dans la fonction de chargement de certificat, le connecteur de réception auquel la session est connectée est contrôlé pour voir si la propriété AuthMechanism est définie sur la valeur TLS. Vous pouvez définir la propriété AuthMechanism sur le connecteur de réception à l'aide de la cmdlet Set-ReceiveConnector. Vous pouvez également définir la propriété AuthMechanism sur TLS en sélectionnant TLS (Transport Security Layer) sous l'onglet Authentification d'un connecteur de réception donné.

    Si le chiffrement TLS n'est pas activé comme mécanisme d'authentification, le serveur n'annonce pas X-STARTTLS comme une option pour le serveur d'envoi et aucun certificat n'est chargé. Si le chiffrement TLS est activé comme mécanisme d'authentification, le processus de sélection de certificat continue jusqu'à l'étape suivante.

  3. Le processus de sélection de certificat extrait la valeur de nom de domaine complet (FQDN) de la configuration du connecteur de réception. Si la valeur FQDN du connecteur de réception est null, le FQDN physique du serveur est extrait.

  4. Le processus de sélection de certificat recherche dans le magasin de certificats de l'ordinateur local des certificats correspondant au nom de domaine complet. S'il ne trouve pas de certificat, le serveur n'annonce pas X-STARTTLS, aucun certificat n'est chargé et l'ID d'événement 12014 est consigné dans le journal des applications.

  5. Le processus de sélection de certificat recherche dans le magasin de certificats tous les certificats dont le nom de domaine complet correspond. Dans cette liste, le processus de sélection de certificat identifie une liste de certificats admissibles. Des certificats admissibles doivent remplir les critères suivants :

    • Le certificat est conforme à la norme X.509, version 3 ou ultérieure.

    • Une clé privée est associée au certificat.

    • Le champ Objet ou Autre nom de l'objet contient le FQDN extrait à l'étape 3.

    • Le certificat est activé pour une utilisation SSL (Secure Sockets Layer)/TLS. Pus spécifiquement, le service SMTP a été activé pour ce certificat à l'aide de la cmdlet Enable-ExchangeCertificate.

  6. Si ces contrôles ne permettent de trouver aucun certificat admissible, le serveur n'annonce pas X-STARTTLS, aucun certificat n'est chargé et l'ID d'événement 12014 est consigné dans le journal des applications.

  7. Parmi les certificats admissibles, le meilleur est sélectionné sur la base de la séquence suivante :

    • Triez les certificats admissibles sur la date Valide à partir du la plus récente. Le champ Valide à partir du est un champ de version 1 sur le certificat.

    • Le premier certificat d'infrastructure à clé publique (PKI) valide trouvé dans cette liste est utilisé.

    • Si aucun certificat PKI n'est trouvé, le premier certificat auto-signé est utilisé.

  8. La date d'expiration du certificat est contrôlée. Le champ Valide jusqu'au dans les propriétés du certificat est comparé aux date et heure système. Si le certificat n'est pas expiré, la commande STARTTLS est annoncée. Si le certificat est expiré, l'ID d'événement 12016 est consigné dans le journal des applications mais STARTTLS est néanmoins annoncé.

Pour plus d'informations

Pour plus d'informations sur la procédure de sélection de certificats pour d'autres scénarios TLS, consultez les rubriques suivantes :