Selezione di certificati STARTTLS in ingresso

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2011-04-27

La selezione di un certificato STARTTLS in ingresso si verifica nei seguenti scenari:

  • Gli host SMTP richiedono il protocollo TLS (Transport Layer Security) con i server Trasporto Edge. L'host che richiede TLS con il server Trasporto Edge può essere qualunque altro host SMTP. Questo descrive anche lo scenario di protezione del dominio. Per ulteriori informazioni sulla protezione del dominio, vedere Informazioni sulla protezione del dominio.

  • I client SMTP, ad esempio Microsoft Outlook Express, richiedono TLS con i server Trasporto Hub.

  • I server Trasporto Hub con accesso a Internet richiedono TLS con un server Trasporto Edge.

Quando si stabilisce una sessione, il server di ricezione avvia un processo di selezione di un certificato per stabilire il certificato da utilizzare nella negoziazione TLS. Anche il server di invio esegue un processo di selezione di un certificato. Per ulteriori informazioni su questo processo, vedere Selezione di certificati TLS anonimi in uscita.

In questo argomento viene descritto il processo di selezione di un certificato STARTTLS in ingresso. Tutti i passaggi descritti in questo argomento sono eseguiti su un server di ricezione. La figura seguente mostra i passaggi di questo processo.

Selezione di un certificato STARTTLS in ingresso

Selezione di un certificato STARTTLS in ingresso

  1. Quando si stabilisce una sessione SMTP, Microsoft Exchange richiama un processo per caricare i certificati.

  2. Nella funzione di caricamento dei certificati, il connettore di ricezione a cui la sessione è collegata viene controllato per verificare se la proprietà AuthMechanism è impostata su un valore di TLS. È possibile impostare la proprietà AuthMechanism sul connettore di ricezione utilizzando il cmdlet Set-ReceiveConnector. È inoltre possibile impostare la proprietà AuthMechanism su TLS selezionando Transport Security Layer (TLS) nella scheda Authentication di uno specifico connettore di ricezione.

    Se TLS non è abilitato come meccanismo di autenticazione, il server non indica X-STARTTLS come opzione al server di invio e non viene caricato alcun certificato. Se TLS è abilitato come meccanismo di protezione, il processo di selezione di un certificato procede al passaggio successivo.

  3. Il processo di selezione di un certificato recupera il valore del nome di dominio completo (FQDN) dalla configurazione del connettore di ricezione. Se il valore FQDN sul connettore di ricezione è null, viene recuperato il FQDN fisico del server.

  4. Il processo di selezione di un certificato esegue la ricerca di un certificato corrispondente al nome di dominio completo nell'archivio certificati del computer locale. Se non viene trovato alcun certificato, il server non indica X-STARTTLS, non viene caricato alcun certificato e l'ID evento 12014 viene registrato nel registro applicazioni.

  5. Il processo di selezione di un certificato esegue la ricerca di tutti i certificati che presentano una corrispondenza con il nome di dominio completo nell'archivio certificati. Da questo elenco il processo di selezione di un certificato ricava un elenco dei certificati che rispondono ai requisiti. I certificati che rispondono ai requisiti devono soddisfare i seguenti criteri:

    • Il certificato è un certificato X.509 versione 3 o successiva.

    • Il certificato ha una chiave privata associata.

    • Il campo Oggetto o Nome oggetto alternativo contiene il nome di dominio completo (FQDN) recuperato al passo 3.

    • Il certificato è abilitato per l'utilizzo SSL/TLS. Nello specifico, il servizio SMTP è stato abilitato per questo certificato utilizzando il cmdlet Enable-ExchangeCertificate.

  6. Se non viene trovato alcun certificato al termine di questi controlli, il server non indica X-STARTTLS, non viene caricato alcun certificato e l'ID evento 12014 viene registrato nel registro applicazioni.

  7. Il certificato migliore viene selezionato dall'elenco dei certificati che rispondono ai requisiti in base alla seguente sequenza:

    1. Ordinare i certificati che rispondono ai requisiti dalla data Valid from più recente. Valid from è un campo Versione 1 del certificato.

    2. Viene utilizzato il primo certificato di un'infrastruttura a chiave pubblica (PKI) valido trovato nell'elenco.

    3. Se non viene trovato alcun certificato PKI valido, viene utilizzato il primo certificato autofirmato.

  8. Il certificato viene controllato per verificare se è scaduto. Il campo Valid to nel certificato viene confrontato con la data e l'ora correnti. Se il certificato non è scaduto, STARTTLS viene indicato. Se il certificato è scaduto, l'ID evento 12016 viene registrato nel registro applicazioni, ma STARTTLS continua a essere indicato.

 ©2010 Microsoft Corporation. Tutti i diritti riservati.