Ниже описаны ситуации, в которых происходит выбор входящих сертификатов STARTTLS.

При создании сеанса SMTP получающий сервер инициирует процесс выбора сертификата, чтобы определить, какой сертификат следует использовать в ходе согласования TLS. Отправляющий сервер также осуществляет выбор сертификата. Дополнительные сведения об этом процессе см. в разделе Выбор исходящих анонимных TLS-сертификатов.

В данном разделе описан процесс выбора входящих сертификатов STARTTLS. Все действия этого процесса выполняются на получающем сервере. Они показаны на рисунке.


Выбор входящего сертификата STARTTLS
  1. При создании сеанса SMTP сервер Microsoft Exchange вызывает процесс загрузки сертификатов.

  2. В функции загрузки сертификата выполняется проверка того, что для соединителя приема, с которым связывается сеанс, свойству AuthMechanism присвоено значение TLS. Задать значение свойства AuthMechanism на соединителе приема можно с помощью командлета Set-ReceiveConnector. Кроме того, присвоить свойству AuthMechanism значение TLS можно, выбрав параметр TLS на вкладке Проверка подлинности данного соединителя приема.

    Если механизм проверки подлинности TLS не включен, сервер не объявляет X-STARTTLS отправляющему серверу и никакой сертификат не загружается. Если механизм проверки подлинности TLS включен, выполняется переход к следующему этапу выбора сертификата.

  3. Процесс выбора сертификата получает полное доменное имя из конфигурации соединителя приема. Если полное доменное имя соединителя приема имеет значение null, извлекается физическое полное доменное имя сервера.

  4. Процесс выбора сертификата ищет в хранилище сертификатов на локальном компьютере сертификат, соответствующий полному доменному имени. Если найти такой сертификат не удается, сервер не объявляет X-STARTTLS, сертификаты не загружается, а в журнале приложений регистрируется событие 12014.

  5. Процесс выбора сертификата ищет в хранилище сертификатов на локальном компьютере все сертификаты, соответствующие полному доменному имени. Из них выбираются пригодные сертификаты, которые должны соответствовать указанным ниже критериям.

    • Сертификат должен иметь версию X.509 версии 3 или более позднюю.

    • С сертификатом должен быть сопоставлен закрытый ключ.

    • В поле «Имя субъекта» или «Альтернативное имя субъекта» должно быть указано полное доменное имя, полученное в действии 3.

    • Для сертификата должна быть включена поддержка SSL/TLS. Точнее говоря, для сертификата с помощью командлета Enable-ExchangeCertificate должна быть включена служба SMTP.

  6. Если после проверок найти пригодный сертификат не удается, сервер не объявляет X-STARTTLS, сертификаты не загружается, а в журнале приложений регистрируется событие 12014.

  7. Лучший сертификат выбирается из списка пригодных сертификатов в соответствии с описанной ниже процедурой.

    • Пригодные сертификаты сортируются по самой поздней дате Valid from (Действителен с). Поле Valid from используется в сертификатах с первой версии.

    • Используется первый допустимый сертификат инфраструктуры открытого ключа (PKI), найденный в данном списке.

    • Если допустимые сертификаты PKI не были найдены, используется первый самозаверяющий сертификат.

  8. Проверяется, не истек ли срок действия сертификата. Для этого поле сертификата Valid to (Действителен до) сравнивается с текущими датой и временем. Если срок действия сертификата не истек, объявляется STARTTLS. Если срок действия сертификата истек, в журнале приложений регистрируется событие 12016, но STARTTLS объявляется.

Дополнительные сведения

Дополнительные сведения о способе выбора сертификатов в других ситуациях, когда используется протокол TLS, см. в следующих разделах:


Выбор входящего сертификата STARTTLS