Selezione di certificati TLS anonimi in uscita

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2009-12-07

In questo argomento, viene descritto il processo di selezione per i certificati TLS anonimi in uscita in Microsoft Exchange Server 2010. La selezione di un certificato TLS anonimo in uscita si verifica nei seguenti scenari:

  • Sessioni SMTP tra i server Trasporto Edge e Trasporto Hub per l'autenticazione

  • Sessioni SMTP tra server Trasporto Hub per la crittografia, solo mediante utilizzo di chiavi pubbliche

Nel caso della comunicazione tra server Trasporto Hub, i certificati TLS anonimi e le chiavi pubbliche di tali certificati vengono utilizzati per crittografare la sessione. Quando si stabilisce una sessione SMTP, il server di ricezione avvia un processo di selezione di un certificato per stabilire il certificato da utilizzare nella negoziazione TLS. Anche il server mittente esegue un processo di selezione del certificato. Per ulteriori informazioni su questo processo, vedere Selezione di certificati TLS anonimi in ingresso.

Invio da un server Trasporto Hub o Trasporto Edge

Tutti i passi per la selezione di un certificato TLS anonimo in uscita vengono eseguiti sul server mittente. La figura seguente mostra i passaggi di questo processo.

Selezione di un certificato TLS anonimo in uscita

Selezione di un certificato TLS anonimo in uscita

  1. Quando si stabilisce una sessione SMTP da un server Trasporto Hub o un server Trasporto Edge, Microsoft Exchange chiama un processo per caricare i certificati.

    Nota

    Durante il caricamento iniziale del certificato, il processo di selezione del certificato in uscita è diverso a seconda che sia coinvolto il ruolo del server Trasporto Edge o il ruolo del server Trasporto Hub. La figura seguente illustra il punto di partenza per ciascun ruolo del server.

  2. Il processo di caricamento dei certificati dipende da quale server (Trasporto Hub o Trasporto Edge) avvia la sessione SMTP.

    Su un server Trasporto Hub     Vengono eseguite le seguenti verifiche:

    1. Il connettore di invio al quale è connessa la sessione viene controllato per verificare se la proprietà SmartHostAuthMechanism è configurata o meno per ExchangeServer. Per impostare la proprietà SmartHostAuthMechanism sul connettore di invio, utilizzare il cmdlet Set-SendConnector. È inoltre possibile impostare la proprietà SmartHostAuthMechanism su ExchangeServer selezionando Autenticazione di Exchange Server nella pagina Configura impostazioni di autenticazione SmartHost di un determinato connettore di invio. Per aprire la pagina Configura impostazioni di autenticazione SmartHost, fare clic su Modifica nella scheda Rete della pagina delle proprietà del connettore di invio.

    2. La proprietà DeliveryType del messaggio viene controllata per determinare se sia o meno impostata su un valore pari a SmtpRelayWithinAdSitetoEdge. Per visualizzare la proprietà DeliveryType, eseguire il cmdlet Get-Queue con l'argomento elenco formati (| Format-List).

      Devono essere soddisfatte entrambe le seguenti condizioni. Se ExchangeServer non è abilitato come meccanismo di autenticazione o se la proprietà DeliveryType non è impostata su SmtpRelayWithinAdSitetoEdge, il server Trasporto Hub mittente non utilizza un TLS anonimo e non viene caricato alcun certificato. Se entrambe le condizioni vengono soddisfatte, il processo di selezione del certificato continua con il passaggio 3.

    Su un server Trasporto Edge     Vengono eseguite le seguenti verifiche:

    1. Il connettore di invio al quale è connessa la sessione viene controllato per verificare se la proprietà SmartHostAuthMechanism è configurata o meno per ExchangeServer. Come evidenziato in precedenza in questo argomento, è possibile impostare la proprietà SmartHostAuthMechanism sul connettore di invio utilizzando il cmdlet Set-SendConnector. È, inoltre, possibile impostare la proprietà SmartHostAuthMechanism su ExchangeServer selezionando Autenticazione di Exchange Server nella pagina Configura impostazioni di autenticazione SmartHost di un determinato connettore di invio. Per aprire la pagina Configura impostazioni di autenticazione SmartHost, fare clic su Modifica nella scheda Rete della pagina delle proprietà del connettore di invio.

    2. Il connettore di invio al quale è connessa la sessione viene controllato per verificare se la proprietà dello spazio indirizzo SmartHost contiene "- -".

      Devono essere soddisfatte entrambe le seguenti condizioni. Se ExchangeServer non è abilitato come meccanismo di autenticazione o lo spazio indirizzo non contiene "- -", il server Trasporto Edge non utilizza un TLS anonimo e non viene caricato alcun certificato. Se entrambe le condizioni vengono soddisfatte, il processo di selezione del certificato continua con il passo 3.

  3. Microsoft Exchange esegue una query a Active Directory per recuperare l'identificazione personale del certificato sul server. L'attributo msExchServerInternalTLSCert sull'oggetto server archivia l'identificazione personale del certificato.

    Se l'attributo msExchServerInternalTLSCert non può essere letto o se il valore è null, Microsoft Exchange non indica X-ANONYMOUSTLS nella sessione SMTP e non viene caricato alcun certificato.

    Nota

    Se l'attributo msExchServerInternalTLSCert non può essere letto o se il valore è null durante l'avvio del servizio di trasporto di Microsoft Exchange, anziché durante la sessione SMTP, l'ID evento 12012 viene registrato nel registro applicazioni.

  4. Se un'identificazione personale viene trovata, il processo di selezione del certificato cercherà un certificato corrispondente a tale identificazione nell'archivio certificati del computer locale. Se non viene trovato alcun certificato, il server non indica X-ANONYMOUSTLS, non viene caricato alcun certificato e l'ID evento 12013 viene registrato nel registro applicazioni.

  5. Una volta caricato un certificato dall'archivio dei certificati, è necessario verificare che questo non sia scaduto. Il campo Valid to nel certificato viene confrontato con la data e l'ora correnti. Se il certificato è scaduto, l'ID evento 12015 viene registrato nel registro applicazioni. In questo caso, il processo di selezione del certificato non viene interrotto e prosegue con le restanti verifiche.

  6. Il certificato viene controllato per verificare che si tratti della versione più recente presente nell'archivio dei certificati del computer locale. Come parte di questa verifica, viene creato un elenco di domini per i potenziali domini del certificato. Tale elenco si basa sulla seguente configurazione del computer:

    • Nome di dominio completo (FQDN), ad esempio mail.contoso.com

    • Nome host, ad esempio EdgeServer01

    • FQDN fisico, ad esempio EdgeServer01.contoso.com

    • Nome host fisico, ad esempio EdgeServer01

      Nota

      Se sul server è in esecuzione il Bilanciamento del carico di Microsoft Windows, viene verificata la seguente chiave del Registro di sistema invece dell'impostazione DnsFullyQualifiedDomainName: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Una volta creato l'elenco di domini, il processo di selezione del certificato esegue una ricerca nell'archivio per trovare tutti i certificati che dispongono di un FQDN corrispondente. Da questo elenco, il processo di selezione di un certificato ricava un elenco dei certificati che rispondono ai requisiti. I certificati che rispondono ai requisiti devono soddisfare i seguenti criteri:

    • Il certificato è un certificato X.509 versione 3 o successiva.

    • Il certificato dispone di una chiave privata associata.

    • Il campo Oggetto o Nome oggetto alternativo contiene il nome di dominio completo (FQDN) recuperato al passo 6.

    • Il certificato è abilitato per l'utilizzo di Secure Sockets Layer (SSL)/TLS. Nello specifico, il servizio SMTP è stato abilitato per questo certificato utilizzando il cmdlet Enable-ExchangeCertificate.

  8. Il certificato migliore viene selezionato dall'elenco dei certificati che rispondono ai requisiti in base alla seguente sequenza:

    1. Ordinare i certificati che rispondono ai requisiti dalla data Valid from più recente. Valid from è un campo Versione 1 del certificato.

    2. Viene utilizzato il primo certificato di un'infrastruttura a chiave pubblica (PKI) valido trovato nell'elenco.

    3. In assenza di certificati PKI validi, viene utilizzato il primo certificato autofirmato.

  9. Una volta determinato il certificato migliore, viene eseguita un'ulteriore verifica per determinare se la relativa identificazione personale corrisponde o meno al certificato archiviato nell'attributo msExchServerInternalTLSCert. Se il certificato corrisponde, viene utilizzato per X-ANONYMOUSTLS. Se non corrisponde, l'ID evento 1037 viene registrato nel registro applicazioni. Tuttavia, ciò non provoca l'interruzione di X-ANONYMOUSTLS.

 ©2010 Microsoft Corporation. Tutti i diritti riservati.