Selezione di certificati TLS anonimi in uscita

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-04-25

La selezione di un certificato TLS (Transport Layer Security) anonimo in uscita avviene nei seguenti scenari:

  • Sessioni SMTP (Simple Mail Transfer Protocol) tra server Trasporto Edge e server Trasporto Hub per l'autenticazione

  • Sessioni SMTP tra server Trasporto Hub per la crittografia, solo mediante utilizzo di chiavi pubbliche

Nel caso della comunicazione tra server Trasporto Hub, i certificati TLS anonimi e le chiavi pubbliche di tali certificati vengono utilizzati per crittografare la sessione. L'autenticazione successiva sarà però un'autenticazione Kerberos. Quando si stabilisce una sessione SMTP, il server di ricezione avvia un processo di selezione di un certificato per stabilire il certificato da utilizzare nella negoziazione TLS. Anche il server mittente esegue un processo di selezione del certificato. Per ulteriori informazioni su questo processo, vedere Selezione di certificati TLS anonimi in ingresso.

In questo argomento viene descritto il processo di selezione per certificati TLS anonimi in uscita. Tutti i passaggi vengono eseguiti sul server mittente. La figura seguente mostra i passaggi di questo processo.

Nota

Durante il caricamento iniziale del certificato, il processo di selezione del certificato in uscita è diverso a seconda che sia coinvolto il ruolo del server Trasporto Edge o il ruolo del server Trasporto Hub. La figura seguente illustra il punto di partenza per ciascun ruolo del server.

Selezione di un certificato TLS anonimo in uscita

Selezione di un certificato TLS anonimo in uscita

Invio da un server Trasporto Hub

  1. Quando si stabilisce una sessione SMTP da un server Trasporto Hub o un server Trasporto Edge, Microsoft Exchange chiama un processo per caricare i certificati.

  2. Il processo di caricamento dei certificati dipende da quale server (Trasporto Hub o Trasporto Edge) avvia la sessione SMTP.

    Su un server Trasporto Hub     Vengono eseguite le seguenti verifiche:

    1. Il connettore di invio al quale è connessa la sessione viene controllato per verificare se la proprietà SmartHostAuthMechanism è configurata o meno per ExchangeServer. Per impostare la proprietà SmartHostAuthMechanism sul connettore di invio, utilizzare il cmdlet Set-SendConnector. È inoltre possibile impostare la proprietà SmartHostAuthMechanism su ExchangeServer selezionando Autenticazione di Exchange Server nella pagina Configura impostazioni di autenticazione SmartHost di un dato connettore di invio. Per aprire la pagina Configura impostazioni di autenticazione SmartHost, fare clic su Modifica nella scheda Rete della pagina delle proprietà del connettore di invio.

    2. La proprietà DeliveryType del messaggio viene controllata per determinare se sia o meno impostata su un valore SmtpRelayWithinAdSitetoEdge. Per visualizzare la proprietà DeliveryType, eseguire il cmdlet Get-Queue con l'argomento elenco formati (| FL).

      Entrambe le condizioni devono essere soddisfatte. Se ExchangeServer non è abilitato come meccanismo di autenticazione, oppure se la proprietà DeliveryType non è impostata su SmtpRelayWithinAdSitetoEdge, il server Trasporto Hub mittente non utilizza TLS anonimo e nessun certificato viene caricato. Se entrambe le condizioni vengono soddisfatte, il processo di selezione del certificato continua con il passaggio 3.

    Su un server Trasporto Edge     Vengono eseguite le seguenti verifiche:

    1. Il connettore di invio al quale è connessa la sessione viene controllato per verificare se la proprietà SmartHostAuthMechanism è configurata o meno per ExchangeServer. Come evidenziato in precedenza in questo argomento, è possibile impostare la proprietà SmartHostAuthMechanism sul connettore di invio utilizzando il cmdlet Set-SendConnector. È inoltre possibile impostare la proprietà SmartHostAuthMechanism su ExchangeServer selezionando Autenticazione di Exchange Server nella pagina Configura impostazioni di autenticazione SmartHost di un dato connettore di invio. Per aprire la pagina Configura impostazioni di autenticazione SmartHost, fare clic su Modifica nella scheda Rete della pagina delle proprietà del connettore di invio.

    2. Il connettore di invio al quale è connessa la sessione viene controllato per verificare se la proprietà dello spazio indirizzo SmartHost contiene "- -".

      Entrambe le condizioni devono essere soddisfatte. Se ExchangeServer non è abilitato come meccanismo di autenticazione e lo spazio indirizzo non contiene "- -", il server Trasporto Edge non utilizza TLS anonimo e nessun certificato viene caricato. Se entrambe le condizioni vengono soddisfatte, il processo di selezione del certificato continua con il passaggio 3.

  3. Microsoft Exchange esegue una query al servizio directory di Active Directory per recuperare l'identificazione personale del certificato sul server. L'attributo msExchServerInternalTLSCert sull'oggetto server archivia l'identificazione personale del certificato.

    Se l'attributo msExchServerInternalTLSCert non può essere letto o se il valore è null, Microsoft Exchange non annuncia X-ANONYMOUSTLS nella sessione SMTP e nessun certificato viene caricato.

    Nota

    Se l'attributo msExchServerInternalTLSCert non può essere letto o se il valore è null durante l'avvio del servizio di trasporto di Microsoft Exchange, anziché durante la sessione SMTP, l'ID evento 12012 viene registrato nel registro applicazioni.

  4. Se un'identificazione personale viene trovata, il processo di selezione del certificato cercherà un certificato corrispondente a tale identificazione nell'archivio certificati del computer locale. Se non viene trovato alcun certificato, il server non annuncia X-ANONYMOUSTLS, nessun certificato viene caricato e l'ID evento 12013 viene registrato nel registro applicazioni.

  5. Una volta caricato un certificato dall'archivio certificati, si verifica che questo non sia scaduto. Il campo Valid to nel certificato viene confrontato con la data e l'ora correnti. Se il certificato è scaduto, l'ID evento 12015 viene registrato nel registro applicazioni. Tuttavia il processo di selezione del certificato non viene interrotto, bensì prosegue con le restanti verifiche.

  6. Il certificato viene controllato per verificare che si tratti della versione più recente nell'archivio certificati del computer locale. Come parte di questa verifica, viene creato un elenco di domini per i potenziali domini del certificato. Tale elenco si basa sulla seguente configurazione del computer:

    • Nome di dominio completo (FQDN), ad esempio mail.contoso.com

    • Nome host, ad esempio EdgeServer01

    • FQDN fisico, ad esempio EdgeServer01.contoso.com

    • Nome host fisico, ad esempio EdgeServer01

    Nota

    Se il server è configurato come cluster oppure per un computer sul quale è in esecuzione il bilanciamento del carico di Microsoft Windows, anziché l'impostazione DnsFullyQualifiedDomainName viene verificata la seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Una volta creato l'elenco di domini, il processo di selezione del certificato esegue una ricerca nell'archivio per trovare tutti i certificati che dispongono di un FQDN corrispondente. Da questo elenco, il processo di selezione di un certificato ricava un elenco dei certificati che rispondono ai requisiti. I certificati che rispondono ai requisiti devono soddisfare i seguenti criteri:

    • Il certificato è un certificato X.509 versione 3 o successiva.

    • Il certificato dispone di una chiave privata associata.

    • Il campo Soggetto o Nome soggetto alternativo contiene il nome di dominio completo recuperato nel passaggio 6.

    • Il certificato è abilitato per l'utilizzo di Secure Sockets Layer (SSL)/TLS. Nello specifico, il servizio SMTP è stato abilitato per questo certificato utilizzando il cmdlet Enable-ExchangeCertificate.

  8. Il certificato migliore viene selezionato dall'elenco dei certificati che rispondono ai requisiti in base alla seguente sequenza:

    • Ordinare i certificati che rispondono ai requisiti dalla data Valid from più recente. Valid from è un campo che si trova nei certificati della versione 1.

    • Viene utilizzato il primo certificato di un'infrastruttura a chiave pubblica (PKI) valido trovato nell'elenco.

    • In assenza di certificati PKI validi, viene utilizzato il primo certificato autofirmato.

  9. Una volta determinato il certificato migliore, viene eseguita un'ulteriore verifica per determinare se la relativa identificazione personale corrisponde o meno al certificato archiviato nell'attributo msExchServerInternalTLSCert. Se il certificato corrisponde, viene utilizzato per X-AnonymousTLS. Se il certificato non corrisponde, l'ID evento 1037 viene registrato nel registro applicazioni. Tuttavia, ciò non provoca l'interruzione di X-AnonymousTLS.

Ulteriori informazioni

Per ulteriori informazioni sulla selezione di certificati per scenari TLS diversi, vedere i seguenti argomenti: