Auswahl von eingehenden STARTTLS-Zertifikaten

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2011-04-27

Die Auswahl eines eingehenden STARTTLS-Zertifikats geschieht in den folgenden Fällen:

  • SMTP-Hosts fordern TLS (Transport Layer Security) für Edge-Transport-Server an. Der Host, der TLS für den Edge-Transport-Server anfordert, kann ein beliebiger SMTP-Host sein. Dies kennzeichnet auch das Domänensicherheitsszenario. Weitere Informationen zu Domänensicherheit finden Sie unter Grundlegendes zur Domänensicherheit.

  • SMTP-Clients, wie Microsoft Outlook Express, erfordern TLS für Hub-Transport-Server.

  • Mit dem Internet verbundene Hub-Transport-Server fordern TLS für einen Edge-Transport-Server an.

Beim Aufbau einer SMTP-Sitzung leitet der empfangende Server einen Zertifikatsauswahlprozess ein, um zu bestimmen, welches Zertifikat in der TLS-Aushandlung verwendet werden soll. Der sendende Server führt ebenfalls einen Zertifikatsauswahlprozess aus. Weitere Informationen zu diesem Vorgang finden Sie unter Auswahl von ausgehenden anonymen TLS-Zertifikaten.

In diesem Thema wird der Zertifikatsauswahlprozess für eingehende STARTTLS beschrieben. Alle in diesem Thema beschriebenen Schritte werden auf dem empfangenden Server ausgeführt. In der folgenden Abbildung sind die Schritte dieses Vorgangs dargestellt:

Auswahl eines eingehenden STARTTLS-Zertifikats

Auswahl eines eingehenden STARTTLS-Zertifikats

  1. Wenn die SMTP-Sitzung eingerichtet wird, ruft Microsoft Exchange einen Prozess zum Laden der Zertifikate auf.

  2. In der Zertifikatladefunktion wird der Empfangsconnector, mit dem die Sitzung verbunden ist, überprüft, um festzustellen, ob die Eigenschaft AuthMechanism auf den Wert TLS festgelegt ist. Sie können die Eigenschaft AuthMechanism auf dem Empfangsconnector mithilfe des Cmdlets Set-ReceiveConnector festlegen. Außerdem können Sie die Eigenschaft AuthMechanism auf TLS festlegen, indem Sie auf der Registerkarte Authentifizierung eines bestimmten Empfangsconnectors Transport Security Layer (TLS) auswählen.

    Wenn TLS nicht als Authentifizierungsmechanismus aktiviert ist, kündigt der Server X-STARTTLS nicht als Option gegenüber dem sendenden Server an, und es wird kein Zertifikat geladen. Wenn TLS als Authentifizierungsmechanismus aktiviert ist, fährt der Zertifikatsauswahlprozess mit dem nächsten Schritt fort.

  3. Der Zertifikatsauswahlprozess ruft den FQDN-Wert (Fully Qualified Domain Name) aus der Konfiguration des Empfangsconnectors ab. Wenn der FQDN-Wert auf dem Empfangsconnector null ist, wird der physische FQDN des Servers abgerufen.

  4. Der Zertifikatsprozess durchsucht den Zertifikatsspeicher des lokalen Computers nach Zertifikaten, die mit dem FQDN übereinstimmen. Wenn kein Zertifikat gefunden wird, kündigt der Server X-STARTTLS nicht an, es wird kein Zertifikat geladen, und die Ereignis-ID 12014 wird im Anwendungsprotokoll protokolliert.

  5. Der Zertifikatsauswahlprozess durchsucht den Zertifikatsspeicher nach allen Zertifikaten, die einen passenden FQDN aufweisen. Der Zertifikatsauswahlprozess identifiziert aus dieser Liste eine Liste der in Betracht kommenden Zertifikate. Die in Betracht kommenden Zertifikate müssen die folgenden Kriterien erfüllen:

    • Bei dem Zertifikat handelt es sich um ein Zertifikat der Version X.509, Version 3 oder höher.

    • Das Zertifikat weist einen zugeordneten privaten Schlüssel auf.

    • Die Felder "Antragstellername" oder "Alternativer Antragstellername" enthalten den FQDN, der in Schritt 3 abgerufen wurde.

    • Das Zertifikat ist für die Verwendung von SSL/TLS aktiviert. Ganz gezielt wurde der SMTP-Dienst mithilfe des Cmdlets Enable-ExchangeCertificate für dieses Zertifikat aktiviert.

  6. Wenn bei diesen Prüfungen keine in Betracht kommenden Zertifikate gefunden werden, kündigt der Server X-STARTTLS nicht an, es wird kein Zertifikat geladen, und die Ereignis-ID 12014 wird im Anwendungsprotokoll protokolliert.

  7. Unter den in Betracht kommenden Zertifikaten wird das beste Zertifikat basierend auf der folgenden Sequenz ausgewählt:

    1. Die in Betracht kommenden Zertifikate werden nach dem neuesten Valid from-Datum sortiert. Valid from ist ein Feld der Version 1 auf dem Zertifikat.

    2. Es wird das erste gültige PKI-Zertifikat (Public Key Infrastructure) verwendet, das in der Liste gefunden wird.

    3. Wenn keine gültigen PKI-Zertifikate gefunden werden, wird das erste selbst signierte Zertifikat verwendet.

  8. Das Zertifikat wird überprüft, um festzustellen, ob es abgelaufen ist. Das Feld Valid to in den Zertifikatseigenschaften wird mit dem aktuellen Datum und der aktuellen Uhrzeit verglichen. Wenn das Zertifikat nicht abgelaufen ist, wird STARTTLS angekündigt. Wenn das Zertifikat abgelaufen ist, wird die Ereignis-ID 12016 im Anwendungsprotokoll protokolliert, STARTTLS wird jedoch weiterhin angekündigt.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.