Seleção de certificados TLS anônimos de saída

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-04-25

A seleção de um certificado TLS (Transport Layer Security) anônimo de saída ocorre nos seguintes cenários:

  • Sessões SMTP entre servidores de Transporte de Borda e servidores de Transporte de Hub para autenticação

  • Sessões SMTP entre servidores de Transporte de Hub para criptografia usando somente chaves públicas

Para comunicação entre servidores de Transporte de Hub, TLS anônimo e as chaves públicas de certificados são usadas para criptografar a sessão. Mas a autenticação seguinte é a autenticação Kerberos. Quando uma sessão SMTP é estabelecida, o servidor de destino inicia um processo de seleção de certificado para determinar o certificado usado na negociação de TLS. O servidor de recebimento também executa um processo de seleção de certificados. Para obter mais informações sobre esse processo, consulte Seleção de certificados TLS anônimos de entrada.

Este tópico descreve o processo de seleção de certificados TLS anônimos de saída. Todas as etapas são realizadas no servidor de envio. A figura a seguir mostra as etapas desse processo.

Dica

Durante o carregamento inicial do certificado, o processo de seleção de certificado de saída é diferente para a função de servidor Transporte de Borda e para a função de servidor Transporte de Hub. A figura a seguir mostra o ponto inicial de cada função de servidor.

Seleção de um certificado TLS anônimo de saída

Seleção de um certificado TLS anônimo de saída

Enviando de um servidor de Transporte de Hub

  1. Quando a sessão SMTP é estabelecida a partir de um servidor de Transporte de Hub ou de Transporte de Borda, o Microsoft Exchange solicita um processo para carregar os certificados.

  2. O processo de carregamento de certificado depende de se a sessão SMTP é iniciada a partir de um servidor de Transporte de Hub ou de Transporte de Borda.

    Em um servidor de Transporte de Hub     São feitas as verificações a seguir:

    1. O Conector de Envio ao qual a sessão está conectada é verificado para confirmar se a propriedade SmartHostAuthMechanism está configurada para o ExchangeServer. É possível definir a propriedade SmartHostAuthMechanism no Conector de Envio usando o cmdlet Set-SendConnector. Também é possível definir a propriedade SmartHostAuthMechanism como ExchangeServer, selecionando Autenticação do Exchange Server na página Configurar Definições de Autenticação de Host Inteligente de um determinado Conector de Envio. Para abrir a página Configurar Definições de Autenticação de Host Inteligente, clique em Alterar na guia Rede da página de propriedades do Conector de Envio.

    2. A propriedade DeliveryType da mensagem é verificada para determinar se o seu valor está definido como SmtpRelayWithinAdSitetoEdge. É possível exibir a propriedade DeliveryType executando o cmdlet Get-Queue com o argumento da lista de formato ( | FL).

      Ambas as condições devem ser atendidas. Se o ExchangeServer não estiver habilitado como um mecanismo de autenticação, ou se a propriedade DeliveryType não estiver definida como SmtpRelayWithinAdSitetoEdge, o servidor de Transporte de Hub de envio não usará TLS anônimo e nenhum certificado será carregado. Se ambas as condições forem atendidas, o processo de seleção de certificado prosseguirá para a etapa 3.

    Em um servidor de Transporte de Borda     São feitas as verificações a seguir:

    1. O Conector de Envio ao qual a sessão está conectada é verificado para confirmar se a propriedade SmartHostAuthMechanism está configurada para o ExchangeServer. Conforme mostrado anteriormente neste tópico, é possível definir a propriedade SmartHostAuthMechanism no Conector de Envio usando o cmdlet Set-SendConnector. Também é possível definir a propriedade SmartHostAuthMechanism como ExchangeServer, selecionando Autenticação do Exchange Server na página Configurar Definições de Autenticação de Host Inteligente de um determinado Conector de Envio. Para abrir a página Configurar Definições de Autenticação de Host Inteligente, clique em Alterar na guia Rede da página de propriedades do Conector de Envio.

    2. O Conector de Envio ao qual a sessão está conectada é verificado para determinar se a propriedade do espaço de endereçamento SmartHost contém “- -“.

      Ambas as condições devem ser atendidas. Se o ExchangeServer não estiver habilitado como um mecanismo de autenticação e o espaço de endereçamento não contiver “- -“, o servidor de Transporte de Borda de envio não usará TLS anônimo e nenhum certificado será carregado. Se ambas as condições forem atendidas, o processo de seleção de certificado prosseguirá para a etapa 3.

  3. O Microsoft Exchange consulta o serviço de diretório do Active Directory para recuperar a impressão digital do certificado no servidor. O atributo msExchServerInternalTLSCert no objeto de servidor armazena a impressão digital do certificado.

    Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for null, o Microsoft Exchange não anunciará X-ANONYMOUSTLS na sessão SMTP e nenhum certificado será carregado.

    Dica

    Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for null durante a inicialização do serviço de Transporte do Microsoft Exchange, em vez de durante uma sessão de protocolo SMTP, a ID de Evento 12012 será registrada no log de Aplicativos.

  4. Se for localizada uma impressão digital, o processo de seleção do certificado procura no armazenamento de certificados do computador local um certificado que corresponda à impressão digital. Se um certificado não é localizado, o servidor não anuncia X-ANONYMOUSTLS, nenhum certificado é carregado e a ID de Evento 12013 é registrada no log de Aplicativos.

  5. Depois que um certificado é carregado a partir de um armazenamento de certificados, é feita uma verificação para confirmar se ele não expirou. O campo Valid to do certificado é comparado à data e hora atuais. Se o certificado tiver expirado, a ID de Evento 12015 será registrada no log de Aplicativos. Mas o processo de seleção de certificado não falha e prossegue com as verificações restantes.

  6. O certificado é verificado para confirmar se ele é o mais recente no armazenamento de certificados do computador local. Como parte desta verificação, uma lista de domínios é construída para possíveis domínios de certificados. A lista de domínios baseia-se na seguinte configuração do computador:

    • Nome de domínio totalmente qualificado (FQDN), como, por exemplo, mail.contoso.com

    • Nome do host, como, por exemplo, EdgeServer01

    • FQDN físico, como, por exemplo, EdgeServer01.contoso.com

    • Nome do host físico, como, por exemplo, EdgeServer01

    Dica

    Se o servidor estiver configurado como um cluster ou em um computador que esteja executando o Balanceamento de Carga do Microsoft Windows, a seguinte chave de registro será verificada, em vez da configuração DnsFullyQualifiedDomainName: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Depois que a lista de domínios for criada, o processo de seleção de certificados realizará uma pesquisa para localizar todos os certificados no armazenamento de certificados que possuam um FQDN correspondente. Nessa lista, o processo de seleção de certificado identifica uma lista de certificados qualificados. Os certificados qualificados devem atender aos seguintes critérios:

    • O certificado é um X.509 versão 3 ou um certificado de uma versão posterior.

    • O certificado possui uma chave particular associada.

    • Os campos Assunto ou Nome Alternativo do Assunto contêm o FQDN recuperado na etapa 6.

    • O certificado é habilitado para uso com SSL/TLS. Especificamente, o serviço SMTP foi habilitado para este certificado com o cmdlet Enable-ExchangeCertificate.

  8. Dentre os certificados qualificados, o melhor é selecionado com base nesta seqüência:

    • Classifique os certificados qualificados pela data Valid from mais recente. Valid from é o campo Versão 1 no certificado.

    • O primeiro certificado de infra-estrutura de chave pública (PKI) válido encontrado nessa lista é usado.

    • Se não for encontrado nenhum certificado de PKI válido, será usado o primeiro certificado auto-assinado.

  9. Depois que o melhor certificado tiver sido determinado, outra verificação será feita para determinar se sua impressão digital corresponde ao certificado armazenado no atributo msExchServerInternalTLSCert. Se for correspondente, o certificado será usado para X-AnonymousTLS. Se não for correspondente, a ID de Evento 1037 será registrada no log de Aplicativos. No entanto, isso não causa falha em X-AnonymousTLS.

Para obter mais informações

Para obter mais informações sobre como os certificados são selecionados para outros cenários TLS, consulte os seguintes tópicos: