Выбор входящих анонимных сертификатов TLS (Transport Layer Security) осуществляется при выполнении следующих задач:

При взаимодействии транспортных серверов-концентраторов между собой передаваемые в ходе сеанса данные шифруются с помощью анонимных сертификатов TLS и открытых ключей сертификатов. Следующим видом проверки подлинности является проверка подлинности Kerberos. При создании сеанса SMTP получающий сервер инициирует процесс выбора сертификата, чтобы определить, какой сертификат следует использовать в ходе согласования TLS. Отправляющий сервер также осуществляет выбор сертификата. Дополнительные сведения об этом процессе см. в разделе Выбор исходящих анонимных TLS-сертификатов.

В данном разделе описан процесс выбора входящих анонимных сертификатов TLS. Все этапы этого процесса выполняются на получающем сервере. Они показаны на рисунке ниже.


Выбор входящего анонимного сертификата TLS
  1. При создании сеанса SMTP сервер Microsoft Exchange вызывает процесс загрузки сертификатов.

  2. В функции загрузки сертификата выполняется проверка того, что для получающего соединителя, с которым связывается сеанс, свойству AuthMechanism присвоено значение ExchangeServer. Задать значение свойства AuthMechanism на получающем соединителе можно с помощью командлета Set-ReceiveConnector. Кроме того, можно присвоить свойству AuthMechanism значение ExchangeServer, выбрав параметр Проверка подлинности Exchange Server на вкладке Проверка подлинности конкретного получающего соединителя.

    Если сервер ExchangeServer не включен в качестве механизма проверки подлинности, сервер в ходе сеанса SMTP не предъявляет отправляющему серверу объявление X-ANONYMOUSTLS и никакой сертификат не загружается. Если сервер ExchangeServer включен в качестве механизма проверки подлинности, выполняется переход к следующему этапу выбора сертификата.

  3. Сервер Microsoft Exchange запрашивает у службы каталогов Active Directory отпечаток сертификата, хранящийся на сервере. Отпечаток сертификата хранится в атрибуте msExchServerInternalTLSCert объекта сервера.

    Если атрибут msExchServerInternalTLSCert не может быть прочитан или имеет значение null, сервер Microsoft Exchange не делает объявление X-ANONYMOUSTLS и никакой сертификат не загружается.

    Примечание.
    Если атрибут msExchServerInternalTLSCert не может быть прочитан или имеет значение null при запуске службы передачи Microsoft Exchange, а не во время сеанса SMTP, в журнале приложений регистрируется событие 12012.
  4. Если отпечаток удалось найти, процесс выбора сертификата ищет в хранилище сертификатов на локальном компьютере сертификат, соответствующий отпечатку. Если найти такой сертификат не удается, сервер не делает объявление X-ANONYMOUSTLS, никакой сертификат не загружается и в журнале приложений регистрируется событие 12013.

  5. После загрузки сертификата из хранилища сертификатов выполняется проверка того, не истек ли срок его действия. Для этого имеющееся в сертификате поле Valid to (действителен до) сравнивается с текущими датой и временем. Если срок действия сертификата истек, в журнале приложений регистрируется событие 12015, однако процесс выбора сертификата не завершается и продолжает выполнять остальные проверки.

  6. Выполняется проверка того, является ли сертификат самым новым в хранилище сертификатов локального компьютера. При этом составляется список доменов потенциальных сертификатов. Этот список включает следующие сведения:

    • полное доменное имя, такое как mail.contoso.com;

    • имя узла, такое как EdgeServer01;

    • физическое полное доменное имя, такое как EdgeServer01.contoso.com;

    • физическое имя узла, такое как EdgeServer01.

    Примечание.
    На серверах, настроенных как кластеры, и на компьютерах с балансировкой нагрузки Microsoft Windows вместо параметра DnsFullyQualifiedDomainName проверяется следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\{GUID}\ClusterName
  7. После создания списка доменов процесс выбора сертификата ищет в хранилище сертификатов все сертификаты, имеющие соответствующее полное доменное имя. Из них выбираются пригодные сертификаты, которые должны соответствовать указанным ниже критериям.

    • Это должен быть сертификат X.509 версии 3 или более поздней версии.

    • С сертификатом должен быть связан закрытый ключ.

    • В поле «Имя субъекта» или «Дополнительное имя субъекта» должно быть указано полное доменное имя, полученное на этапе 6.

    • Для сертификата должна быть включена поддержка протокола SSL с шифрованием по протоколу TLS. Точнее говоря, для сертификата с помощью командлета Enable-ExchangeCertificate должна быть включена служба SMTP.

  8. Лучший сертификат выбирается из списка пригодных сертификатов в соответствии с описанной ниже процедурой.

    • Пригодные сертификаты сортируются по самой поздней дате начала действия (Valid from). Поле Valid from используется в сертификатах с первой версии.

    • Используется первый действительный сертификат инфраструктуры открытого ключа, найденный в данном списке.

    • Если никакие действительные сертификаты инфраструктуры открытого ключа не были найдены, используется первый самозаверяющий сертификат.

  9. После определения наилучшего сертификата выполняется проверка того, соответствует ли его отпечаток сертификату, который хранится в атрибуте msExchServerInternalTLSCert. Если соответствие установлено, этот сертификат используется для выполнения проверки подлинности X-AnonymousTLS. Если проверка завершается неудачей, в журнале приложений регистрируется событие 1037, но это не приводит к сбою процесса X-AnonymousTLS.

Дополнительные сведения

Дополнительные сведения о способе выбора сертификатов в других ситуациях, когда используется протокол TLS, см. в следующих разделах:



Выбор входящего анонимного сертификата TLS