Selezione di certificati TLS anonimi in ingresso

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2009-11-23

La selezione di un certificato TLS (Transport Layer Security) anonimo in ingresso si verifica nei seguenti scenari:

  • Sessioni SMTP tra server Trasporto Edge e server Trasporto Hub per l'autenticazione

  • Sessioni SMTP tra server Trasporto Hub per la crittografia solo mediante chiavi pubbliche

Per la comunicazione tra server Trasporto Hub, vengono usati il TLS anonimo e le chiavi pubbliche dei certificati per crittografare la sessione. Viene utilizzato Kerberos per l'autenticazione. Quando viene stabilita una sessione SMTP, il server di ricezione avvia un processo di selezione dei certificati per determinare quale certificato utilizzare nella negoziazione TLS. Anche il server mittente esegue un processo di selezione dei certificati. Per ulteriori informazioni su tali processi, vedere Selezione di certificati TLS anonimi in uscita.

In questo argomento viene descritto il processo di selezione per i certificati TLS anonimi in ingresso. Tutti i passaggi vengono eseguiti sul server di ricezione. Nella seguente figura vengono illustrati i passaggi del processo.

Selezione di un certificato TLS anonimo in ingresso

Selezione di un certificato TLS anonimo in ingresso

  1. Quando viene stabilita la sessione SMTP, in Microsoft Exchange viene richiamato un processo per caricare i certificati.

  2. Nella funzione di caricamento dei certificati il connettore di ricezione a cui è connessa la sessione viene controllato per scoprire se la proprietà AuthMechanism è impostata su un valore di ExchangeServer. È possibile impostare la proprietà AuthMechanism sul connettore di ricezione utilizzando il cmdlet Set-ReceiveConnector. È inoltre possibile impostare la proprietà AuthMechanism su ExchangeServer selezionando Autenticazione di Exchange Server nella scheda Autenticazione di uno specifico connettore di ricezione.

    Se ExchangeServer non è attivato come meccanismo di autenticazione, il server non annuncia X-ANONYMOUSTLS al server di invio nella sessione SMTP e non vengono caricati certificati. Se ExchangeServer è abilitato come meccanismo di autenticazione, il processo di selezione dei certificati continua con il passaggio successivo.

  3. Microsoft Exchange esegue una query su Active Directory per recuperare l'identificazione digitale del certificato sul server. L'attributo msExchServerInternalTLSCert nell'oggetto server archivia l'identificazione personale del certificato.

    Se non è possibile leggere l'attributo msExchServerInternalTLSCert o se il relativo valore è null, Microsoft Exchange non annuncia X-ANONYMOUSTLS e non vengono caricati certificati.

    Nota

    Se non è possibile leggere l'attributo msExchServerInternalTLSCert o se il relativo valore è null durante l'avvio del servizio di trasporto di Microsoft Exchange, anziché durante la sessione SMTP, viene registrato l'ID evento 12012 nel registro applicazioni.

  4. Se viene trovata un'identificazione personale, il processo di selezione dei certificati ricerca nell'archivio certificati del computer locale un certificato che corrisponda all'identificazione personale. Se non viene trovato alcun certificato, il server non annuncia X-ANONYMOUSTLS, nessun certificato viene caricato e l'ID evento 12013 viene registrato nel registro applicazioni.

  5. Una volta caricato un certificato dall'archivio certificati, viene eseguito un controllo per verificare che non sia scaduto. Il campo Valid to del certificato viene confrontato con la data e l'ora correnti. Se il certificato è scaduto, nel registro applicazioni viene registrato l'ID evento 12015. In questo caso, il processo di selezione del certificato non viene interrotto, ma prosegue con i controlli rimanenti.

  6. Il certificato viene controllato per verificare che si tratti della versione più recente nell'archivio certificati del computer locale. Come parte di questo controllo, viene creato un elenco di domini per i potenziali domini del certificato. L'elenco di domini si basa sulla seguente configurazione del computer:

    • Nome di dominio completo (FQDN), quale mail.contoso.com

    • Nome host, quale EdgeServer01

    • Nome di dominio completo (FQDN) fisico, quale EdgeServer01.contoso.com

    • Nome host fisico, quale EdgeServer01

      Nota

      Se il server è configurato come cluster oppure per un computer sul quale è in esecuzione il bilanciamento del carico di Microsoft Windows, anziché l'impostazione DnsFullyQualifiedDomainName viene verificata la seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Dopo che l'elenco di domini è stato creato, il processo di selezione dei certificati esegue un controllo per trovare tutti i certificati nell'archivio certificati il cui il nome di dominio completo (FQDN) corrisponde a quello cercato. Da tale elenco il processo di selezione dei certificati identifica un elenco di certificati idonei. I certificati idonei devono soddisfare i seguenti criteri:

    • Il certificato è X.509 versione 3 o successiva.

    • Il certificato dispone di una chiave privata associata.

    • Il campo Soggetto o Nome soggetto alternativo contiene il nome di dominio completo recuperato nel passaggio 6.

    • Il certificato è abilitato per l'utilizzo in sessioni SSL (Secure Sockets Layer)/TLS (Transport Layer Security). Nello specifico, il servizio SMTP viene abilitato per il certificato utilizzando il cmdlet Enable-ExchangeCertificate.

  8. Tra i certificati idonei viene selezionato il certificato migliore in base alla sequenza riportata di seguito:

    1. Ordinare i certificati di idonei dal più recente al meno recente in base alla data di Valid from. Valid from è un campo della versione 1 del certificato.

    2. Viene utilizzato il primo certificato di un'infrastruttura a chiave pubblica (PKI) valido trovato nell'elenco.

    3. Se non vengono trovati certificati PKI validi, viene utilizzato il primo certificato autofirmato.

  9. Una volta determinato il certificato migliore, viene eseguita un'ulteriore verifica per determinare se la relativa identificazione digitale corrisponde al certificato archiviato nell'attributo msExchServerInternalTLSCert. Se il certificato corrisponde, viene utilizzato per X-ANONYMOUSTLS. Se non corrisponde, l'ID evento 1037 viene registrato nel registro applicazioni. Tuttavia, ciò non provoca un errore di X-ANONYMOUSTLS.

 ©2010 Microsoft Corporation. Tutti i diritti riservati.