Выбор входящих сертификатов STARTTLS

  • Статья

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2011-01-19

Ниже описаны ситуации, в которых происходит выбор входящих сертификатов STARTTLS.

  • Узлы SMTP требуют использования TLS для пограничных транспортных серверов. Узел, которые требует использования TLS для пограничного транспортного сервера, может быть любым другим узлом SMTP. Эта ситуация также связана с безопасностью домена. Дополнительные сведения о безопасности домена см. в разделе Планирование безопасности домена.

  • SMTP-клиенты, такие как Microsoft Outlook Express, требуют использования для транспортных серверов-концентраторов.

  • Транспортные серверы-концентраторы с выходом в Интернет требуют использования TLS для пограничного транспортного сервера.

При создании сеанса SMTP получающий сервер инициирует процесс выбора сертификата, чтобы определить, какой сертификат следует использовать в ходе согласования TLS. Отправляющий сервер также осуществляет выбор сертификата. Дополнительные сведения об этом процессе см. в разделе Выбор исходящих анонимных TLS-сертификатов.

В данном разделе описан процесс выбора входящих сертификатов STARTTLS. Все действия этого процесса выполняются на получающем сервере. Они показаны на рисунке.

Выбор входящего сертификата STARTTLS

Выбор входящего сертификата STARTTLS

  1. При создании сеанса SMTP сервер Microsoft Exchange вызывает процесс загрузки сертификатов.

  2. В функции загрузки сертификата выполняется проверка того, что для соединителя приема, с которым связывается сеанс, свойству AuthMechanism присвоено значение TLS. Задать значение свойства AuthMechanism на соединителе приема можно с помощью командлета Set-ReceiveConnector. Кроме того, присвоить свойству AuthMechanism значение TLS можно, выбрав параметр TLS на вкладке Проверка подлинности данного соединителя приема.

    Если механизм проверки подлинности TLS не включен, сервер не объявляет X-STARTTLS отправляющему серверу и никакой сертификат не загружается. Если механизм проверки подлинности TLS включен, выполняется переход к следующему этапу выбора сертификата.

  3. Процесс выбора сертификата получает полное доменное имя из конфигурации соединителя приема. Если полное доменное имя соединителя приема имеет значение null, извлекается физическое полное доменное имя сервера.

  4. Процесс выбора сертификата ищет в хранилище сертификатов на локальном компьютере сертификат, соответствующий полному доменному имени. Если найти такой сертификат не удается, сервер не объявляет X-STARTTLS, сертификаты не загружается, а в журнале приложений регистрируется событие 12014.

  5. Процесс выбора сертификата ищет в хранилище сертификатов на локальном компьютере все сертификаты, соответствующие полному доменному имени. Из них выбираются пригодные сертификаты, которые должны соответствовать указанным ниже критериям.

    • Сертификат должен иметь версию X.509 версии 3 или более позднюю.

    • С сертификатом должен быть сопоставлен закрытый ключ.

    • В поле "Имя субъекта" или "Альтернативное имя субъекта" должно быть указано полное доменное имя, полученное в действии 3.

    • Для сертификата должна быть включена поддержка SSL/TLS. В частности, для сертификата должна быть включена служба SMTP с помощью командлета Enable-ExchangeCertificate.

  6. Если после проверок найти пригодный сертификат не удается, сервер не объявляет X-STARTTLS, сертификаты не загружается, а в журнале приложений регистрируется событие 12014.

  7. Лучший сертификат выбирается из списка пригодных сертификатов в соответствии с описанной ниже процедурой.

    • Пригодные сертификаты сортируются по самой поздней дате Valid from (Действителен с). Поле Valid from используется в сертификатах с первой версии.

    • Используется первый допустимый сертификат инфраструктуры открытого ключа (PKI), найденный в данном списке.

    • Если допустимые сертификаты PKI не были найдены, используется первый самозаверяющий сертификат.

  8. Проверяется, не истек ли срок действия сертификата. Для этого поле сертификата Valid to (Действителен до) сравнивается с текущими датой и временем. Если срок действия сертификата не истек, объявляется STARTTLS. Если срок действия сертификата истек, в журнале приложений регистрируется событие 12016, но STARTTLS объявляется.

Дополнительные сведения

Дополнительные сведения о способе выбора сертификатов в других ситуациях, когда используется протокол TLS, см. в следующих разделах: