Seleção de certificados TLS anônimos de entrada

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2011-01-19

A seleção de um certificado TLS anônimo de entrada ocorre nos seguintes cenários:

  • Sessões SMTP entre servidores de Transporte de Borda e servidores de Transporte de Hub para autenticação

  • Sessões SMTP entre servidores de Transporte de Hub para criptografia usando somente chaves públicas

Para comunicação entre servidores de Transporte de Hub, TLS anônimo e as chaves públicas de certificados são usadas para criptografar a sessão. Mas a autenticação seguinte é a autenticação Kerberos. Quando uma sessão SMTP é estabelecida, o servidor de destino inicia um processo de seleção de certificado para determinar o certificado usado na negociação de TLS. O servidor de origem também executa um processo de seleção de certificados. Para obter mais informações sobre esse processo, consulte Seleção de certificados TLS anônimos de saída.

Este tópico descreve o processo de seleção de certificados TLS anônimos de entrada. Todas as etapas são executadas no servidor de recebimento. A figura a seguir mostra as etapas desse processo.

Seleção de um certificado TLS anônimo de entrada

Seleção de um certificado TLS anônimo de entrada

  1. Quando a sessão SMTP é estabelecida, o Microsoft Exchange chama um processo para carregar os certificados.

  2. Na função de carregamento do certificado, o Conector de Recebimento ao qual a sessão está conectada é verificado para confirmar se a propriedade AuthMechanism está definida como ExchangeServer. Você pode definir a propriedade AuthMechanism no Conector de Recebimento usando o cmdlet Set-ReceiveConnector. Também é possível definir a propriedade AuthMechanism como ExchangeServer selecionando Autenticação do Exchange Server na guia Autenticação de um Conector de Recebimento específico.

    Se o ExchangeServer não estiver habilitado como um mecanismo de autenticação, o servidor não informará X-ANONYMOUSTLS ao servidor de envio na sessão SMTP e nenhum certificado será carregado. Se ExchangeServer estiver habilitado como um mecanismo de autenticação, o processo de seleção de certificados continuará na próxima etapa.

  3. O Microsoft Exchange consulta o serviço de diretório do Active Directory para recuperar a impressão digital do certificado no servidor. O atributo msExchServerInternalTLSCert no objeto de servidor armazena a impressão digital do certificado.

    Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for null, o Microsoft Exchange não informará X-ANONYMOUSTLS e nenhum certificado será carregado.

    Dica

    Se o atributo msExchServerInternalTLSCert não puder ser lido ou se o valor for null durante a inicialização do serviço de Transporte do Microsoft Exchange, em vez de durante uma sessão de protocolo SMTP, a ID de Evento 12012 será registrada no log de Aplicativos.

  4. Se for localizada uma impressão digital, o processo de seleção do certificado procura no repositório de certificados do computador local um certificado que corresponda à impressão digital. Se um certificado não é localizado, o servidor não anuncia X-ANONYMOUSTLS, nenhum certificado é carregado e a ID de Evento 12013 é registrada no log de Aplicativos.

  5. Depois que um certificado é carregado a partir de um repositório de certificados, é feita uma verificação para confirmar se ele não expirou. O campo Valid to do certificado é comparado à data e hora atuais. Se o certificado tiver expirado, a ID de Evento 12015 será registrada no log de Aplicativos. Mas o processo de seleção de certificado não falha e prossegue com as verificações restantes.

  6. O certificado é verificado para confirmar se ele é o mais recente no repositório de certificados do computador local. Como parte desta verificação, uma lista de domínios é construída para possíveis domínios de certificados. A lista de domínios baseia-se na seguinte configuração do computador:

    • Nome de domínio totalmente qualificado (FQDN), como, por exemplo, mail.contoso.com

    • Nome do host, como, por exemplo, EdgeServer01

    • FQDN físico, como, por exemplo, EdgeServer01.contoso.com

    • Nome do host físico, como, por exemplo, EdgeServer01

    Dica

    Se o servidor estiver configurado como um cluster ou em um computador que esteja executando o Balanceamento de Carga do Microsoft Windows, a seguinte chave de registro será verificada, em vez da configuração DnsFullyQualifiedDomainName: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Depois que a lista de domínios for criada, o processo de seleção de certificados verificará se todos os certificados no repositório de certificados têm um FQDN correspondente. Nessa lista, o processo de seleção de certificado identifica uma lista de certificados qualificados. Os certificados qualificados devem atender aos seguintes critérios:

    • O certificado é um X.509 versão 3 ou um certificado de uma versão posterior.

    • O certificado possui uma chave particular associada.

    • Os campos Assunto ou Nome Alternativo do Assunto contêm o FQDN recuperado na etapa 6.

    • O certificado é habilitado para uso com SSL/TLS. Mais especificamente, o serviço SMTP foi habilitado para este certificado com o cmdlet Enable-ExchangeCertificate.

  8. Dentre os certificados qualificados, o melhor é selecionado com base nesta seqüência:

    • Classifique os certificados qualificados pela data Valid from mais recente. Valid from é o campo Versão 1 no certificado.

    • O primeiro certificado de infra-estrutura de chave pública (PKI) válido encontrado nessa lista é usado.

    • Se não for encontrado nenhum certificado de PKI válido, será usado o primeiro certificado autoassinado.

  9. Depois que o melhor certificado tiver sido determinado, outra verificação será feita para determinar se sua impressão digital corresponde ao certificado armazenado no atributo msExchServerInternalTLSCert. Se for correspondente, o certificado será usado para X-AnonymousTLS. Se não for correspondente, a ID de Evento 1037 será registrada no log de Aplicativos. No entanto, isso não causa falha em X-AnonymousTLS.

Para obter mais informações

Para obter mais informações sobre como os certificados são selecionados para outros cenários TLS, consulte os seguintes tópicos: