Selezione di certificati STARTTLS in ingresso

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2011-01-19

La selezione di un certificato STARTTLS in ingresso si verifica nei seguenti scenari:

  • Gli host SMTP (Simple Mail Transfer Protocol) richiedono TLS (Transport Layer Security) con server Trasporto Edge. L'host che richiede TLS con il server Trasporto Edge può essere qualunque altro host SMTP. Questo descrive anche lo scenario di protezione del dominio. Per ulteriori informazioni sulla protezione del dominio, vedere Pianificazione della protezione del dominio.

  • I client SMTP, ad esempio Microsoft Outlook Express, richiedono TLS con server Trasporto Hub.

  • I server Trasporto Hub con accesso a Internet richiedono TLS con un server Trasporto Edge.

Quando si stabilisce una sessione, il server di ricezione avvia un processo di selezione di un certificato per stabilire il certificato da utilizzare nella negoziazione TLS. Anche il server di invio esegue un processo di selezione di un certificato. Per ulteriori informazioni su questo processo, vedere Selezione di certificati TLS anonimi in uscita.

In questo argomento viene descritto il processo di selezione di un certificato STARTTLS in ingresso. Tutti i passaggi descritti in questo argomento sono eseguiti su un server di ricezione. La figura seguente mostra i passaggi di questo processo.

Selezione di un certificato STARTTLS in ingresso

Selezione di un certificato STARTTLS in ingresso

  1. Quando si stabilisce una sessione SMTP, Microsoft Exchange richiama un processo per caricare i certificati.

  2. Nella funzione di caricamento dei certificati, il connettore di ricezione a cui la sessione è collegata viene controllato per verificare se la proprietà AuthMechanism è impostata su un valore di TLS. È possibile impostare la proprietà AuthMechanism sul connettore di ricezione utilizzando il cmdlet Set-ReceiveConnector. È inoltre possibile impostare la proprietà AuthMechanism su TLS selezionando Transport Security Layer (TLS) nella scheda Autenticazione del connettore specificato.

    Se TLS non è abilitato come meccanismo di autenticazione, il server non indica X-STARTTLS come opzione al server di invio e non viene caricato alcun certificato. Se TLS è abilitato come meccanismo di protezione, il processo di selezione di un certificato procede al passaggio successivo.

  3. Il processo di selezione di un certificato recupera il valore del nome di dominio completo (FQDN) dalla configurazione del connettore di ricezione. Se il valore del nome di dominio completo sul connettore di ricezione è null, il nome di dominio completo fisico del server viene recuperato.

  4. Il processo di selezione di un certificato esegue la ricerca di un certificato corrispondente al nome di dominio completo nell'archivio certificati del computer locale. Se non viene trovato alcun certificato, il server non indica X-STARTTLS, non viene caricato nessun certificato e l'ID evento 12014 viene registrato nel registro applicazioni.

  5. Il processo di selezione di un certificato esegue la ricerca di tutti i certificati che presentano una corrispondenza con il nome di dominio completo nell'archivio certificati. Da questo elenco il processo di selezione di un certificato ricava un elenco dei certificati che rispondono ai requisiti. I certificati che rispondono ai requisiti devono soddisfare i seguenti criteri:

    • Il certificato è un certificato X.509 versione 3 o successiva.

    • Il certificato ha una chiave privata associata.

    • Il campo Soggetto o Nome soggetto alternativo contiene il nome di dominio completo recuperato nel passaggio 3.

    • Il certificato viene abilitato per l'utilizzo di Secure Sockets Layer (SSL)/TLS. Nello specifico, il servizio SMTP viene abilitato per il certificato utilizzando il cmdlet Enable-ExchangeCertificate.

  6. Al termine di questi controlli, se non viene trovato alcun certificato che risponde ai requisiti, il server non indica X-STARTTLS, non viene caricato nessun e l'ID evento 12014 viene registrato nel registro applicazioni.

  7. Il certificato migliore viene selezionato dall'elenco dei certificati che rispondono ai requisiti in base alla seguente sequenza:

    • Ordinare i certificati che rispondono ai requisiti dalla data Valid from più recente. Valid from è un campo che si trova nei certificati della versione 1.

    • Viene utilizzato il primo certificato di un'infrastruttura a chiave pubblica (PKI) valido trovato nell'elenco.

    • Se non viene trovato alcun certificato PKI valido, viene utilizzato il primo certificato autofirmato.

  8. Il certificato viene controllato per verificare se è scaduto. Il campo Valid to nelle proprietà del certificato viene confrontato con la data e l'ora correnti. Se il certificato non è scaduto, STARTTLS viene indicato. Se il certificato è scaduto, l'ID evento 12016 viene registrato nel registro applicazioni, ma STARTTLS continua a essere indicato.

Ulteriori informazioni

Per ulteriori informazioni su come i certificati vengono selezionati per altri scenari TLS, vedere i seguenti argomenti: