Auswahl von ausgehenden anonymen TLS-Zertifikaten

  • Artikel

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2009-12-07

In diesem Thema wird das Auswahlverfahren für ausgehende anonyme TLS-Zertifikate (Transport Layer Security) in Microsoft Exchange Server 2010 beschrieben. In den folgenden Szenarien wird ein ausgehendes anonymes TLS-Zertifikat ausgewählt:

  • Bei SMTP-Sitzungen zwischen Edge-Transport-Servern und Hub-Transport-Servern für die Authentifizierung

  • Bei SMTP-Sitzungen zwischen Hub-Transport-Servern, wenn für die Verschlüsselung nur öffentliche Schlüssel verwendet werden

Für die Kommunikation zwischen Hub-Transport-Servern werden anonyme TLS-Zertifikate und öffentliche Schlüssel von Zertifikaten zum Verschlüsseln der Sitzung verwendet. Beim Aufbau einer SMTP-Sitzung leitet der empfangende Server einen Zertifikatsauswahlprozess ein, um zu bestimmen, welches Zertifikat in der TLS-Aushandlung verwendet werden soll. Der empfangende Server führt ebenfalls einen Zertifikatsauswahlprozess durch. Weitere Informationen zu diesem Vorgang finden Sie unter Auswahl von eingehenden anonymen TLS-Zertifikaten.

Beim Senden von einem Hub-Transport-Server oder einem Edge-Transport-Server aus

Alle Schritte für die Auswahl eines ausgehenden anonymen TLS-Zertifikats werden auf dem sendenden Server ausgeführt. In der folgenden Abbildung sind die Schritte dieses Vorgangs dargestellt:

Auswahl eines ausgehenden anonymen TLS-Zertifikats

Auswahl eines ausgehenden anonymen TLS-Zertifikats

  1. Wenn die SMTP-Sitzung von einem Hub-Transport- oder einem Edge-Transport-Server ausgebaut wird, ruft Microsoft Exchange einen Prozess zum Laden der Zertifikate auf.

    Hinweis

    Während des erstmaligen Ladens des Zertifikats ist der Auswahlprozess für ausgehende Zertifikate für die Edge-Transport- und Hub-Transport-Serverrollen unterschiedlich. Die Abbildung zeigt den Ausgangspunkt für jede Serverrolle.

  2. Dieser Prozess zum Laden von Zertifikaten ist davon abhängig, ob die SMTP-Sitzung von einem Hub-Transport- oder einem Edge-Transport-Server initiiert wird.

    Auf einem Hub-Transport-Server    Es werden die folgenden Prüfungen durchgeführt:

    1. Der Sendeconnector, mit dem die Sitzung verbunden ist, wird darauf geprüft, ob für ExchangeServer die Eigenschaft SmartHostAuthMechanism konfiguriert ist. Sie können die Eigenschaft SmartHostAuthMechanism auf dem Sendeconnector mithilfe des Cmdlets Set-SendConnector festlegen. Sie können die Eigenschaft SmartHostAuthMechanism auch auf ExchangeServer festlegen, indem Sie auf der Seite Smarthost-Authentifizierungseinstellungen konfigurieren eines bestimmten Sendeconnectors die Option Exchange Server-Authentifizierung auswählen. Klicken Sie zum Öffnen der Seite Smarthost-Authentifizierungseinstellungen konfigurieren auf der Registerkarte Netzwerk der Seite Eigenschaften des Sendeconnectors auf Ändern.

    2. Die Eigenschaft DeliveryType der Nachricht wird geprüft, um festzustellen, ob sie auf den Wert SmtpRelayWithinAdSitetoEdge festgelegt wurde. Sie können die Eigenschaft DeliveryType anzeigen, indem Sie das Cmdlet Get-Queue mit dem Listenformatierungsargument (| Format-List) ausführen.

      Hierbei müssen die beiden folgenden Bedingungen zutreffen. Wenn ExchangeServer als Authentifizierungsmechanismus nicht aktiviert ist oder wenn die Eigenschaft DeliveryType nicht auf SmtpRelayWithinAdSitetoEdge festgelegt wurde, verwendet der sendende Hub-Transport-Server kein anonymes TLS, und es wird kein Zertifikat geladen. Wenn beide Bedingungen zutreffen, fährt der Zertifikatsauswahlprozess mit Schritt 3 fort.

    Auf einem Edge-Transport-Server    Es werden die folgenden Prüfungen durchgeführt:

    1. Der Sendeconnector, mit dem die Sitzung verbunden ist, wird darauf geprüft, ob für ExchangeServer die Eigenschaft SmartHostAuthMechanism konfiguriert ist. Wie bereits an früherer Stelle in diesem Thema erwähnt, können Sie die Eigenschaft SmartHostAuthMechanism für den Sendeconnector mithilfe des Cmdlets Set-SendConnector festlegen. Sie können die Eigenschaft SmartHostAuthMechanism auch auf ExchangeServer festlegen, indem Sie auf der Seite Smarthost-Authentifizierungseinstellungen konfigurieren eines bestimmten Sendeconnectors die Option Exchange Server-Authentifizierung auswählen. Klicken Sie zum Öffnen der Seite Smarthost-Authentifizierungseinstellungen konfigurieren auf der Eigenschaftenseite des Sendeconnectors auf der Registerkarte Netzwerk auf Ändern.

    2. Der Sendeconnector, mit dem die Sitzung verbunden ist, wird geprüft, um festzustellen, ob die Adressraumeigenschaft SmartHost die Zeichenfolge "- -" enthält.

      Hierbei müssen die beiden folgenden Bedingungen zutreffen. Wenn ExchangeServer nicht als Authentifizierungsmechanismus aktiviert ist oder wenn der Adressraum die Zeichenfolge "- -" nicht enthält, verwendet der Edge-Transport-Server kein anonymes TLS, und es wird kein Zertifikat geladen. Wenn beide Bedingungen zutreffen, fährt der Zertifikatsauswahlprozess mit Schritt 3 fort.

  3. Microsoft Exchange fragt Active Directory ab, um den Fingerabdruck des Zertifikats auf dem Server abzurufen. Das Attribut msExchServerInternalTLSCert für das Serverobjekt speichert den Fingerabdruck des Zertifikats.

    Wenn das Attribut msExchServerInternalTLSCert nicht gelesen werden kann oder wenn der Wert null ist, wird X-ANONYMOUSTLS in der SMTP-Sitzung von Microsoft Exchange nicht angekündigt, und es wird kein Zertifikat geladen.

    Hinweis

    Wenn das Attribut msExchServerInternalTLSCert nicht gelesen werden kann oder dessen Wert beim Starten des Microsoft Exchange-Transportdiensts und nicht während der SMTP-Sitzung null ist, wird die Ereignis-ID 12012 im Anwendungsprotokoll protokolliert.

  4. Wird ein Fingerabdruck gefunden, durchsucht der Zertifikatsauswahlprozess den Zertifikatspeicher des lokalen Computers nach einem Zertifikat, das dem Fingerabdruck entspricht. Wenn kein entsprechendes Zertifikat gefunden werden kann, kündigt der Server X-ANONYMOUSTLS nicht an, es wird kein Zertifikat geladen, und die Ereignis-ID 12013 wird im Anwendungsprotokoll protokolliert.

  5. Nachdem ein Zertifikat aus dem Zertifikatspeicher geladen wurde, wird es auf seine Gültigkeit geprüft. Der Inhalt des Felds Valid to des Zertifikats wird mit dem aktuellen Datum und der aktuellen Uhrzeit verglichen. Wenn das Zertifikat abgelaufen ist, wird Ereignis-ID 12015 im Anwendungsprotokoll protokolliert. In diesem Fall schlägt der Zertifikatsauswahlprozess nicht fehl, und die verbleibenden Prüfungen werden ausgeführt.

  6. Das Zertifikat wird darauf geprüft, ob es das neueste im Zertifikatspeicher des lokalen Computers ist. Als Bestandteil der Prüfung wird eine Domänenliste für potenzielle Zertifikatdomänen erstellt. Diese Domänenliste basiert auf der folgenden Computerkonfiguration:

    • Dem vollqualifizierten Domänennamen (FQDN), wie mail.contoso.com

    • Dem Hostnamen wie EdgeServer01

    • Dem physikalischen FQDN wie EdgeServer01.contoso.com

    • Dem physikalischen Hostnamen wie EdgeServer01

      Hinweis

      Wenn auf dem Server der Microsoft Windows-Lastenausgleich ausgeführt wird, wird statt der Einstellung "DnsFullyQualifiedDomainName" der folgende Registrierungsschlüssel überprüft: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Nach der Erstellung der Domänenliste führt der Zertifikatsauswahlprozess ein Suche durch, um alle Zertifikate im Zertifikatspeicher zu finden, die einen passenden FQDN aufweisen. Der Zertifikatsauswahlprozess identifiziert aus dieser Liste eine Liste der in Betracht kommenden Zertifikate. Die in Betracht kommenden Zertifikate müssen die folgenden Kriterien erfüllen:

    • Bei dem Zertifikat handelt es sich um ein Zertifikat der Version X.509, Version 3 oder höher.

    • Das Zertifikat weist einen zugeordneten privaten Schlüssel auf.

    • Das Feld "Antragstellername" oder "Alternativer Antragstellername" enthält den FQDN, der in Schritt 6 abgerufen wurde.

    • Das Zertifikat ist für die Verwendung durch SSL/TLS (Secure Sockets Layer/Transport Layer Security) aktiviert. Insbesondere wurde der SMTP-Dienst mithilfe des Cmdlets Enable-ExchangeCertificate für dieses Zertifikat aktiviert.

  8. Unter den in Betracht kommenden Zertifikaten wird das beste Zertifikat basierend auf der folgenden Sequenz ausgewählt:

    1. Die in Betracht kommenden Zertifikate werden nach dem neuesten Valid from-Datum sortiert. Valid from ist ein Feld der Version 1 für das Zertifikat.

    2. Es wird das erste gültige PKI-Zertifikat (Public Key-Infrastruktur) verwendet, das in der Liste gefunden wird.

    3. Wenn keine gültigen PKI-Zertifikate gefunden werden, wird das erste selbst signierte Zertifikat verwendet.

  9. Nachdem das beste Zertifikat ermittelt wurde, wird eine weitere Prüfung durchgeführt, um festzustellen, ob der Fingerabdruck dem Zertifikat entspricht, das im Attribut msExchServerInternalTLSCert gespeichert ist. Bei einer Entsprechung wird dieses Zertifikat für X-ANONYMOUSTLS verwendet. Wenn keine Entsprechung vorliegt, wird die Ereignis-ID 1037 im Anwendungsprotokoll protokolliert. Dies führt jedoch nicht dazu, dass X-ANONYMOUSTLS fehlschlägt.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.