Sélection de certificats TLS anonymes entrants

  • Article

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2009-11-23

La sélection d’un certificat TLS (Transport Layer Security) entrant se produit dans les scénarios suivants :

  • des sessions SMTP entre des serveurs de transport Edge et des serveurs de transport Hub pour l'authentification ;

  • des sessions SMTP entre des serveurs de transport Hub pour le chiffrement uniquement à l'aide des clés publiques.

Pour la communication entre les serveurs de transport Hub, le TLS anonyme et les clés publiques des certificats permettent de chiffrer la session. Kerberos est utilisé pour l'authentification. Après qu'une session SMTP a été ouverte, le serveur de réception lance un processus de sélection de certificat pour déterminer le certificat à utiliser dans la négociation TLS. Le serveur d'envoi exécute également un processus de sélection de certificat. Pour plus d'informations sur ce processus, consultez la rubrique Sélection de certificats TLS anonymes sortants.

Cette rubrique décrit le processus de sélection pour des certificats TLS anonymes entrants. Toutes les opérations sont exécutées sur le serveur de réception. La figure suivante présente les étapes de ce processus.

Sélection d’un certificat TLS anonyme entrant

Sélection d’un certificat TLS anonyme entrant

  1. Après qu'une session SMTP a été ouverte, Microsoft Exchange appelle une procédure pour charger les certificats.

  2. Dans la fonction de chargement de certificat, le connecteur de réception auquel la session est connectée est contrôlé pour voir si la propriété AuthMechanism est définie sur la valeur ExchangeServer. Vous pouvez définir la propriété AuthMechanism sur le connecteur de réception à l'aide de la cmdlet Set-ReceiveConnector. Vous pouvez également définir la propriété AuthMechanism sur ExchangeServer en sélectionnant Authentification du serveur Exchange sous l'onglet Authentification d'un connecteur de réception spécifique.

    Si ExchangeServer n'est pas activé comme mécanisme d'authentification, le serveur n'annonce pas X-ANONYMOUSTLS au serveur d'envoi et aucun certificat n'est chargé. Si ExchangeServer est activé comme mécanisme d'authentification, le processus de sélection de certificat continue jusqu'à l'étape suivante.

  3. Microsoft Exchange interroge Active Directory pour récupérer l'empreinte du certificat sur le serveur. L’attribut msExchServerInternalTLSCert sur l’objet serveur stocke l’empreinte du certificat.

    Si l'attribut msExchServerInternalTLSCert ne peut pas être lu ou si la valeur est null, Microsoft Exchange n'annonce pas X-ANONYMOUSTLS et aucun certificat n'est chargé.

    RemarqueRemarque :
    Si l'attribut msExchServerInternalTLSCert ne peut pas être lu ou si la valeur est null pendant le démarrage du service de transport Microsoft Exchange, et non pendant la session SMTP, l'ID d'événement 12012 est consigné dans le journal des applications.

  4. Si une empreinte de certificat est trouvée, le processus de sélection de certificat recherche dans le magasin de certificats de l'ordinateur local un certificat correspondant à l’empreinte. S'il ne trouve pas le certificat, le serveur n'annonce pas X-ANONYMOUSTLS, aucun certificat n'est chargé et l'ID d'événement 12013 est consigné dans le journal des applications.

  5. Après le chargement d'un certificat à partir du magasin de certificats, la date d'expiration du certificat est contrôlée. Le champ Valid to du certificat est comparé aux date et heure système actuelles. Si le certificat a expiré, l'ID d'événement 12015 est consigné dans le journal des applications. Dans ce cas, le processus de sélection de certificat n'échoue pas et continue avec les contrôles restants.

  6. Le certificat est contrôlé pour déterminer s'il est le plus récent dans le magasin de certificats de l'ordinateur local. Dans le cadre de ce contrôle, une liste de domaines est créée pour les domaines de certificats potentiels. La liste de domaines est basée sur la configuration d’ordinateur suivante :

    • nom de domaine complet (FQDN), tel que mail.contoso.com ;

    • nom d’hôte, tel que EdgeServer01 ;

    • FQDN physique, tel que EdgeServer01.contoso.com ;

    • nom d’hôte physique, tel que EdgeServer01.

      RemarqueRemarque :
      Si le serveur est configuré comme cluster ou pour un ordinateur exécutant l'équilibrage de charge Microsoft Windows, la clé de registre suivante est contrôlée au lieu du paramètre DnsFullyQualifiedDomainName : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\{GUID}\ClusterName

  7. Après la création d’une liste de domaines, le processus de sélection de certificat vérifie dans le magasin de certificats tous les certificats dont le nom de domaine complet correspond. Dans cette liste, le processus de sélection de certificat identifie une liste de certificats admissibles. Des certificats admissibles doivent remplir les critères suivants :

    • Le certificat est conforme à la norme X.509, version 3 ou ultérieure.

    • Une clé privée est associée au certificat.

    • Le champ Objet ou Autre nom de l'objet contient le FQDN extrait à l'étape 6.

    • Le certificat est activé pour une utilisation SSL (Secure Sockets Layer)/TLS. Pus spécifiquement, le service SMTP a été activé pour ce certificat à l'aide de la cmdlet Enable-ExchangeCertificate.

  8. Parmi les certificats admissibles, le meilleur est sélectionné sur la base de la séquence suivante :

    1. Triez les certificats admissibles sur la date Valid from la plus récente. Valid from est un champ de version 1 sur le certificat.

    2. Le premier certificat d'infrastructure à clé publique (PKI) valide trouvé dans cette liste est utilisé.

    3. Si aucun certificat PKI n'est trouvé, le premier certificat auto-signé est utilisé.

  9. Une fois le meilleur certificat déterminé, un autre contrôle est effectué pour déterminer si son empreinte correspond au certificat qui est stocké dans l'attribut msExchServerInternalTLSCert. Si le certificat correspond, le certificat est utilisé pour X-AnonymousTLS. S'il ne correspond pas, l'ID d'événement 1037 est consigné dans le journal des applications. Cependant, ceci n'entraîne pas l'échec de X-ANONYMOUSTLS.

 © 2010 Microsoft Corporation. Tous droits réservés.