Sélection de certificats STARTTLS entrants

  • Article

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2011-04-27

La sélection d’un certificat STARTTLS entrant se produit dans les scénarios suivants :

  • Les hôtes SMTP demandent TLS (Transport Layer Security) avec les serveurs de transport Edge. L’hôte qui demande un chiffrement TLS avec le serveur de transport Edge peut être tout autre hôte SMTP. Cette section décrit également le scénario de sécurité du domaine. Pour plus d’informations sur la sécurité du domaine, consultez la rubrique Présentation de la sécurité de domaine.

  • Des clients SMTP, tels que Microsoft Outlook Express, demandent un chiffrement TLS avec les serveurs de transport Hub.

  • Des serveurs de transport Hub côté Internet demandent un chiffrement TLS avec un serveur de transport Edge.

Après qu’une session SMTP a été ouverte, le serveur de réception lance un processus de sélection de certificat pour déterminer le certificat à utiliser dans la négociation TLS. Le serveur d’envoi exécute également un processus de sélection de certificat. Pour plus d’informations sur ce processus, consultez la rubrique Sélection de certificats TLS anonymes sortants.

Cette rubrique décrit le processus de sélection de certificat pour une commande STARTTLS entrante. Toutes les étapes décrites dans cette rubrique sont exécutées sur le serveur de réception. La figure suivante présente les étapes de ce processus.

Sélection d’un certificat STARTTLS entrant

Sélection d’un certificat STARTTLS entrant

  1. Après qu’une session SMTP a été ouverte, Microsoft Exchange appelle une procédure pour charger les certificats.

  2. Dans la fonction de chargement de certificat, le connecteur de réception auquel la session est connectée est contrôlé pour voir si la propriété AuthMechanism est définie sur la valeur TLS. Vous pouvez définir la propriété AuthMechanism sur le connecteur de réception à l’aide de la cmdlet Set-ReceiveConnector. Vous pouvez également définir la propriété AuthMechanism à TLS en sélectionnant Transport Security Layer (TLS) sur l’onglet Authentification d’un connecteur de réception spécifique.

    Si le chiffrement TLS n’est pas activé comme mécanisme d’authentification, le serveur n’annonce pas X-STARTTLS comme une option pour le serveur d’envoi et aucun certificat n’est chargé. Si le chiffrement TLS est activé comme mécanisme d’authentification, le processus de sélection de certificat continue jusqu’à l’étape suivante.

  3. Le processus de sélection de certificat extrait la valeur de nom de domaine complet (FQDN) de la configuration du connecteur de réception. Si la valeur FQDN du connecteur de réception est null, le FQDN physique du serveur est extrait.

  4. Le processus de sélection de certificat recherche dans le magasin de certificats de l’ordinateur local des certificats correspondant au nom de domaine complet. S’il ne trouve pas de certificat, le serveur n’annonce pas X-STARTTLS, aucun certificat n’est chargé et l’ID d’événement 12014 est consigné dans le journal des applications.

  5. Le processus de sélection de certificat recherche dans le magasin de certificats tous les certificats dont le nom de domaine complet correspond. Dans cette liste, le processus de sélection de certificat identifie une liste de certificats admissibles. Des certificats admissibles doivent remplir les critères suivants :

    • Le certificat est conforme à la norme X.509, version 3 ou ultérieure.

    • Une clé privée est associée au certificat.

    • Le champ Objet ou Autre nom de l’objet contient le FQDN extrait à l’étape 3.

    • Le certificat est activé pour utiliser SSL/TLS. Plus spécifiquement, le service SMTP a été activé pour ce certificat à l’aide de la cmdlet Enable-ExchangeCertificate.

  6. Si ces contrôles ne permettent de trouver aucun certificat admissible, le serveur n’annonce pas X-STARTTLS, aucun certificat n’est chargé et l’ID d’événement 12014 est consigné dans le journal des applications.

  7. Parmi les certificats admissibles, le meilleur est sélectionné sur la base de la séquence suivante :

    1. Triez les certificats admissibles en fonction de la date Valid from la plus récente. Valid from représente un champ Version 1 sur le certificat.

    2. Le premier certificat d’infrastructure à clé publique (PKI) valide trouvé dans cette liste est utilisé.

    3. Si aucun certificat PKI n’est trouvé, le premier certificat auto-signé est utilisé.

  8. La date d’expiration du certificat est contrôlée. Le champ Valid to dans les propriétés du certificat est comparé aux date et heure système. Si le certificat n’est pas expiré, la commande STARTTLS est annoncée. Si le certificat est expiré, l’ID d’événement 12016 est consigné dans le journal des applications mais STARTTLS est néanmoins annoncé.

 © 2010 Microsoft Corporation. Tous droits réservés.