Sélection de certificats TLS anonymes entrants

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2011-01-19

La sélection d'un certificat TLS (Transport Layer Security) entrant se produit dans les scénarios suivants :

  • des sessions SMTP (Simple Mail Transfer Protocol) entre des serveurs de transport Edge et des serveurs de transport Hub pour authentification ;

  • des sessions SMTP entre des serveurs de transport Hub pour le chiffrement uniquement à l'aide des clés publiques.

Pour la communication entre les serveurs de transport Hub, le TLS anonyme et les clés publiques des certificats permettent de chiffrer la session. Mais l’authentification suivante est l’authentification Kerberos. Après qu'une session SMTP a été ouverte, le serveur de réception lance un processus de sélection de certificat pour déterminer le certificat à utiliser dans la négociation TLS. Le serveur d'envoi exécute également un processus de sélection de certificat. Pour plus d'informations sur ce processus, consultez la rubrique Sélection de certificats TLS anonymes sortants.

Cette rubrique décrit le processus de sélection pour des certificats TLS anonymes entrants. Toutes les opérations sont exécutées sur le serveur de réception. La figure suivante présente les étapes de ce processus.

Sélection d’un certificat TLS anonyme entrant

Sélection d'un certificat TLS anonyme entrant

  1. Après qu'une session SMTP a été ouverte, Microsoft Exchange appelle une procédure pour charger les certificats.

  2. Dans la fonction de chargement de certificat, le connecteur de réception auquel la session est connectée est contrôlé pour voir si la propriété AuthMechanism est définie sur la valeur ExchangeServer. Vous pouvez définir la propriété AuthMechanism sur le connecteur de réception à l'aide de la cmdlet Set-ReceiveConnector. Vous pouvez également définir la propriété AuthMechanism sur ExchangeServer en sélectionnant Authentification du serveur Exchange sous l'onglet Authentification d'un connecteur de réception donné.

    Si ExchangeServer n'est pas activé comme mécanisme d'authentification, le serveur n'annonce pas X-ANONYMOUSTLS au serveur d'envoi et aucun certificat n'est chargé. Si ExchangeServer est activé comme mécanisme d'authentification, le processus de sélection de certificat continue jusqu'à l'étape suivante.

  3. Microsoft Exchange interroge le service d’annuaire Active Directory pour récupérer l’empreinte du certificat sur le serveur. L’attribut msExchServerInternalTLSCert sur l’objet serveur stocke l’empreinte du certificat.

    Si l’attribut msExchServerInternalTLSCert ne peut pas être lu ou si la valeur est null, Microsoft Exchange n’annonce pas X-ANONYMOUSTLS et aucun certificat n’est chargé.

    Notes

    Si l’attribut msExchServerInternalTLSCert ne peut pas être lu ou si la valeur est null pendant le démarrage du service de transport Microsoft Exchange, et non pendant la session SMTP, l’ID d’événement 12012 est consigné dans le journal des applications.

  4. Si une empreinte de certificat est trouvée, le processus de sélection de certificat recherche dans le magasin de certificats de l'ordinateur local un certificat correspondant à l’empreinte. S'il ne trouve pas le certificat, le serveur n'annonce pas X-ANONYMOUSTLS, aucun certificat n'est chargé et l'ID d'événement 12013 est consigné dans le journal des applications.

  5. Après le chargement d’un certificat à partir du magasin de certificats, la date d’expiration du certificat est contrôlée. Le champ Valide jusqu'au du certificat est comparé aux date et heure système actuelles. Si le certificat a expiré, l'ID d'événement 12015 est consigné dans le journal des applications. Cependant le processus de sélection de certificat n’échoue pas et continue avec les contrôles restants.

  6. Le certificat est contrôlé pour déterminer s’il est le plus récent dans le magasin de certificats de l’ordinateur local. Dans le cadre de ce contrôle, une liste de domaines est créée pour les domaines de certificats potentiels. La liste de domaines est basée sur la configuration d’ordinateur suivante :

    • nom de domaine complet (FQDN), tel que mail.contoso.com ;

    • nom d’hôte, tel que EdgeServer01 ;

    • FQDN physique, tel que EdgeServer01.contoso.com ;

    • nom d’hôte physique, tel que EdgeServer01.

    Notes

    Si le serveur est configuré comme cluster ou pour un ordinateur exécutant l’équilibrage de charge Microsoft Windows, la clé de registre suivante est contrôlée au lieu du paramètre DnsFullyQualifiedDomainName : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Après la création d’une liste de domaines, le processus de sélection de certificat vérifie dans le magasin de certificats tous les certificats dont le nom de domaine complet correspond. Dans cette liste, le processus de sélection de certificat identifie une liste de certificats admissibles. Des certificats admissibles doivent remplir les critères suivants :

    • Le certificat est conforme à la norme X.509, version 3 ou ultérieure.

    • Une clé privée est associée au certificat.

    • Le champ Objet ou Autre nom de l'objet contient le FQDN extrait à l'étape 6.

    • Le certificat est activé pour une utilisation SSL (Secure Sockets Layer)/TLS. Pus spécifiquement, le service SMTP a été activé pour ce certificat à l'aide de la cmdlet Enable-ExchangeCertificate.

  8. Parmi les certificats admissibles, le meilleur est sélectionné sur la base de la séquence suivante :

    • Triez les certificats admissibles sur la date Valide à partir du la plus récente. Le champ Valide à partir du est un champ de version 1 sur le certificat.

    • Le premier certificat d'infrastructure à clé publique (PKI) valide trouvé dans cette liste est utilisé.

    • Si aucun certificat PKI n'est trouvé, le premier certificat auto-signé est utilisé.

  9. Une fois le meilleur certificat déterminé, un autre contrôle est effectué pour déterminer si son empreinte correspond au certificat qui est stocké dans l’attribut msExchServerInternalTLSCert. Si le certificat correspond, le certificat est utilisé pour X-AnonymousTLS. S’il ne correspond pas, l'ID d'événement 1037 est consigné dans le journal des applications. Cependant, ceci n’entraîne pas l’échec de X-AnonymousTLS.

Pour plus d'informations

Pour plus d'informations sur la procédure de sélection de certificats pour d'autres scénarios TLS, consultez les rubriques suivantes :