Selezione di certificati TLS anonimi in ingresso

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2011-01-19

La selezione di un certificato TLS (Transport Layer Security) anonimo in ingresso si verifica nei seguenti scenari:

  • Sessioni SMTP (Simple Mail Transfer Protocol) tra server Trasporto Edge e server Trasporto Hub per l'autenticazione

  • Sessioni SMTP tra server Trasporto Hub per la crittografia solo mediante chiavi pubbliche

Per la comunicazione tra server Trasporto Hub, vengono usati il TLS anonimo e le chiavi pubbliche dei certificati per crittografare la sessione. Tuttavia, l'autenticazione successiva è quella di Kerberos. Quando viene stabilita una sessione SMTP, il server di ricezione avvia un processo di selezione dei certificati per determinare quale certificato utilizzare nella negoziazione TLS. Anche il server mittente esegue un processo di selezione dei certificati. Per ulteriori informazioni su tali processi, vedere Selezione di certificati TLS anonimi in uscita.

In questo argomento viene descritto il processo di selezione per i certificati TLS anonimi in ingresso. Tutti i passaggi vengono eseguiti sul server di ricezione. Nella seguente figura vengono illustrati i passaggi del processo.

Selezione di un certificato TLS anonimo in ingresso

Selezione di un certificato TLS anonimo in ingresso

  1. Quando viene stabilita la sessione SMTP, in Microsoft Exchange viene richiamato un processo per caricare i certificati.

  2. Nella funzione di caricamento dei certificati il connettore di ricezione a cui è connessa la sessione viene controllato per scoprire se la proprietà AuthMechanism è impostata su un valore di ExchangeServer. È possibile impostare la proprietà AuthMechanism sul connettore di ricezione utilizzando il cmdlet Set-ReceiveConnector. È inoltre possibile impostare la proprietà AuthMechanism su ExchangeServer selezionando Autenticazione di Exchange Server nella scheda Autenticazione di uno specifico connettore di ricezione.

    Se ExchangeServer non è abilitato come meccanismo di autenticazione, il server non segnala X-ANONYMOUSTLS al server mittente durante la sessione SMTP e non vengono caricati certificati. Se ExchangeServer è abilitato come meccanismo di autenticazione, il processo di selezione dei certificati continua con il passaggio successivo.

  3. Microsoft Exchange invia una query al servizio directory di Active Directory per recuperare l'identificazione personale del certificato sul server. L'attributo msExchServerInternalTLSCert nell'oggetto server archivia l'identificazione personale del certificato.

    Se non è possibile leggere l'attributo msExchServerInternalTLSCert o se il relativo valore è null, Microsoft Exchange non segnala X-ANONYMOUSTLS e non vengono caricati certificati.

    Nota

    Se non è possibile leggere l'attributo msExchServerInternalTLSCert o se il relativo valore è null durante l'avvio del servizio di trasporto di Microsoft Exchange, invece che durante la sessione SMTP, viene registrato l'ID evento 12012 nel registro applicazioni.

  4. Se viene trovata un'identificazione personale, il processo di selezione dei certificati ricerca nell'archivio certificati del computer locale un certificato che corrisponda all'identificazione personale. Se non vengono trovati certificati, il server non segnala X-ANONYMOUSTLS, non vengono caricati certificati e nel registro applicazioni viene registrato l'ID evento 12013.

  5. Dopo che un certificato è stato caricato dall'archivio certificati, viene controllato per scoprire se è scaduto. Il campo Valido fino al sul certificato viene confrontato con la data e l'ora correnti. Se il certificato è scaduto, nel registro applicazioni viene registrato l'ID evento 12015. Tuttavia, il processo di selezione dei certificati non termina ma prosegue con i restanti controlli.

  6. Il certificato viene controllato per scoprire se è il più recente nell'archivio certificati del computer locale. Come parte di questo controllo, viene creato un elenco di domini per i potenziali domini del certificato. L'elenco di domini si basa sulla seguente configurazione del computer:

    • Nome di dominio completo (FQDN), quale mail.contoso.com

    • Nome host, quale EdgeServer01

    • Nome di dominio completo (FQDN) fisico, quale EdgeServer01.contoso.com

    • Nome host fisico, quale EdgeServer01

    Nota

    Se il server è configurato come cluster o per un computer su cui è in esecuzione Bilanciamento carico di Microsoft Windows, viene controllata la chiave del Registro di sistema riportata di seguito invece dell'impostazione di DnsFullyQualifiedDomainName: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Dopo che l'elenco di domini è stato creato, il processo di selezione dei certificati esegue un controllo per trovare tutti i certificati nell'archivio certificati il cui il nome di dominio completo (FQDN) corrisponde a quello cercato. Da tale elenco il processo di selezione dei certificati identifica un elenco di certificati idonei. I certificati idonei devono soddisfare i seguenti criteri:

    • Il certificato è X.509 versione 3 o successiva.

    • Il certificato dispone di una chiave privata associata.

    • Nei campi del soggetto o del nome soggetto alternativo è visualizzato il nome di dominio completo (FQDN) recuperato al passaggio 6.

    • Il certificato è abilitato per l'utilizzo in sessioni SSL (Secure Sockets Layer)/TLS (Transport Layer Security). Nello specifico, il servizio SMTP viene abilitato per il certificato utilizzando il cmdlet Enable-ExchangeCertificate.

  8. Tra i certificati idonei viene selezionato il certificato migliore in base alla sequenza riportata di seguito:

    • I certificati idonei vengono ordinati in base alla data più recente nel campo Valido dal. Valido dal è un campo della versione 1 nel certificato.

    • Viene utilizzato il primo certificato di infrastruttura a chiave pubblica (PKI) valido che viene trovato nell'elenco.

    • Se non vengono trovati certificati PKI validi, viene utilizzato il primo certificato autofirmato.

  9. Dopo che è stato determinato il certificato migliore, viene eseguito un altro controllo per determinare se la relativa identificazione personale corrisponde al certificato archiviato nell'attributo msExchServerInternalTLSCert. Se il certificato corrisponde, viene utilizzato per X-ANONYMOUSTLS. Se il certificato non corrisponde, nel registro applicazioni viene registrato l'ID evento 1037. Tuttavia, ciò non implica l'interruzione di X-ANONYMOUSTLS.

Ulteriori informazioni

Per ulteriori informazioni sulla modalità di selezione dei certificati per altri scenari TLS, vedere i seguenti argomenti: