Выбор входящих сертификатов STARTTLS

  • Статья

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2011-04-27

Ниже описаны ситуации, в которых происходит выбор входящих сертификатов STARTTLS.

  • Узлы SMTP требуют использования протокола TLS для пограничных транспортных серверов. Узел, которые требует использования TLS для пограничного транспортного сервера, может быть любым другим узлом SMTP. Эта ситуация также связана с безопасностью домена. Дополнительные сведения о безопасности домена см. в разделе Общие сведения о безопасности домена.

  • SMTP-клиенты, такие как Microsoft Outlook Express, требуют использования протокола TLS для транспортных серверов-концентраторов.

  • Транспортные серверы-концентраторы с выходом в Интернет требуют использования TLS для пограничного транспортного сервера.

При создании сеанса SMTP получающий сервер инициирует процесс выбора сертификата, чтобы определить, какой сертификат следует использовать в ходе согласования TLS. Отправляющий сервер также осуществляет выбор сертификата. Дополнительные сведения об этом процессе см. в разделе Выбор исходящих анонимных TLS-сертификатов.

В данном разделе описан процесс выбора входящих сертификатов STARTTLS. Все действия этого процесса выполняются на получающем сервере. Они показаны на рисунке.

Выбор входящего сертификата STARTTLS

Выбор входящего сертификата STARTTLS

  1. При создании сеанса SMTP сервер Microsoft Exchange вызывает процесс загрузки сертификатов.

  2. В функции загрузки сертификата выполняется проверка того, что для соединителя приема, с которым связывается сеанс, свойству AuthMechanism присвоено значение TLS. Установить значение свойства AuthMechanism на соединителе получения можно с помощью командлета Set-ReceiveConnector. Чтобы установить для свойства AuthMechanism значение TLS, можно также выбрать параметр Transport Security Layer (TLS) на вкладке Проверка подлинности определенного соединителя получения.

    Если протокол TLS отключен для метода проверки подлинности, сервер не объявляет в качестве параметра X-STARTTLS отправляющему серверу и сертификат не загружается. Если механизм проверки подлинности TLS включен, выполняется переход к следующему этапу выбора сертификата.

  3. Процесс выбора сертификата получает полное доменное имя из конфигурации соединителя приема. Если значение FQDN соединителя получения имеет значение null, будет получено физическое имя FQDN сервера.

  4. Процесс выбора сертификата ищет в хранилище сертификатов на локальном компьютере сертификат, соответствующий полному доменному имени. Если сертификат не найден, сервер не объявляет X-STARTTLS, сертификаты не загружаются и в журнале приложений регистрируется событие с идентификатром 12014.

  5. Процесс выбора сертификата ищет в хранилище сертификатов на локальном компьютере все сертификаты, соответствующие полному доменному имени. Из них выбираются пригодные сертификаты, которые должны соответствовать указанным ниже критериям.

    • Сертификат должен иметь версию X.509 версии 3 или более позднюю.

    • С сертификатом должен быть сопоставлен закрытый ключ.

    • В поле «Имя субъекта» или «Дополнительное имя субъекта» необходимо указать имя FQDN, полученное на шаге 3.

    • Для сертификата включена поддержка SSL/TLS. В частности, для этого сертификата служба SMTP включена с помощью командлета Enable-ExchangeCertificate.

  6. Если после проверок найти действительный сертификат не удалось, сервер не объявляет X-STARTTLS, сертификаты не загружаются, а в журнале приложений регистрируется событие с идентификатором 12014.

  7. Лучший сертификат выбирается из списка пригодных сертификатов в соответствии с описанной ниже процедурой.

    1. Выполните сортировку действительных сертификатов по самой поздней дате Valid from (дате начала действия). Параметр Valid from является полем первой версии в сертификате.

    2. Используется первый действительный сертификат инфраструктуры открытых ключей (PKI), найденный в этом списке.

    3. Если допустимые сертификаты PKI не были найдены, используется первый самозаверяющий сертификат.

  8. Проверяется, не истек ли срок действия сертификата. Для этого в свойствах сертификата поле Valid to сравнивается с текущими датой и временем. Если срок действия сертификата не истек, объявляется STARTTLS. Если срок действия сертификата истек, в журнале приложений регистрируется событие 12016, но STARTTLS объявляется.

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.