Auswahl von eingehenden anonymen TLS-Zertifikaten

  • Artikel

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2009-11-23

Die Auswahl eines eingehenden anonymen TLS-Zertifikats (Transport Layer Security) tritt in den folgenden Fällen ein:

  • SMTP-Sitzungen zwischen Edge-Transport-Servern und Hub-Transport-Servern für die Authentifizierung:

  • Bei SMTP-Sitzungen zwischen Hub-Transport-Servern, wenn für die Verschlüsselung nur öffentliche Schlüssel verwendet werden

Für die Kommunikation zwischen Hub-Transport-Servern werden anonyme TLS-Zertifikate und öffentliche Schlüssel von Zertifikaten zum Verschlüsseln der Sitzung verwendet. Für die Authentifizierung wird Kerberos verwendet. Beim Aufbau einer SMTP-Sitzung leitet der empfangende Server einen Zertifikatsauswahlprozess ein, um zu bestimmen, welches Zertifikat in der TLS-Aushandlung verwendet werden soll. Der sendende Server führt ebenfalls einen Zertifikatsauswahlprozess aus. Weitere Informationen zu diesem Vorgang finden Sie unter Auswahl von ausgehenden anonymen TLS-Zertifikaten.

In diesem Thema wird der Auswahlprozess für eingehende anonyme TLS-Zertifikate erläutert. Alle Schritte werden auf dem empfangenden Server ausgeführt. In der folgenden Abbildung sind die Schritte dieses Vorgangs dargestellt:

Auswahl eines eingehenden anonymen TLS-Zertifikats

Auswahl eines eingehenden anonymen TLS-Zertifikats

  1. Wenn die SMTP-Sitzung eingerichtet wird, ruft Microsoft Exchange einen Prozess zum Laden der Zertifikate auf.

  2. In der Zertifikatladefunktion wird der Empfangsconnector, mit dem die Sitzung verbunden ist, überprüft, um festzustellen, ob die Eigenschaft AuthMechanism auf den Wert ExchangeServer festgelegt ist. Sie können die Eigenschaft AuthMechanism für den Empfangsconnector mithilfe des Cmdlets Set-ReceiveConnector festlegen. Außerdem kann die Eigenschaft AuthMechanism auf ExchangeServer festgelegt werden, indem auf der Registerkarte Authentifizierung eines bestimmten Empfangsconnectors Exchange Server-Authentifizierung ausgewählt wird.

    Wenn ExchangeServer nicht als Authentifizierungsmechanismus aktiviert ist, kündigt der Server gegenüber dem sendenden Server X-ANONYMOUSTLS in der SMTP-Sitzung nicht an, und es wird kein Zertifikat geladen. Wenn ExchangeServer als Authentifizierungsmechanismus aktiviert ist, fährt der Zertifikatsauswahlprozess mit dem nächsten Schritt fort.

  3. Microsoft Exchange fragt Active Directory ab, um den Fingerabdruck des Zertifikats auf dem Server abzurufen. Das Attribut msExchServerInternalTLSCert für das Serverobjekt speichert den Fingerabdruck des Zertifikats.

    Wenn das Attribut msExchServerInternalTLSCert nicht gelesen werden kann oder wenn der Wert null ist, wird X-ANONYMOUSTLS von Microsoft Exchange nicht angekündigt, und es wird kein Zertifikat geladen.

    Hinweis

    Wenn das Attribut msExchServerInternalTLSCert nicht gelesen werden kann oder dessen Wert beim Starten des Microsoft Exchange-Transportdiensts und nicht während der SMTP-Sitzung null ist, wird die Ereignis-ID 12012 im Anwendungsprotokoll protokolliert.

  4. Wird ein Fingerabdruck gefunden, durchsucht der Zertifikatsauswahlprozess den Zertifikatspeicher des lokalen Computers nach einem Zertifikat, das dem Fingerabdruck entspricht. Wenn kein entsprechendes Zertifikat gefunden werden kann, kündigt der Server X-ANONYMOUSTLS nicht an, es wird kein Zertifikat geladen, und die Ereignis-ID 12013 wird im Anwendungsprotokoll protokolliert.

  5. Nachdem ein Zertifikat aus dem Zertifikatspeicher geladen wurde, wird es auf seine Gültigkeit geprüft. Der Inhalt des Felds Valid to des Zertifikats wird mit dem aktuellen Datum und der aktuellen Uhrzeit verglichen. Wenn das Zertifikat abgelaufen ist, wird die Ereignis-ID 12015 im Anwendungsprotokoll protokolliert. In diesem Fall tritt für den Zertifikatsauswahlprozess kein Fehler auf, und die verbleibenden Prüfungen werden ausgeführt.

  6. Das Zertifikat wird darauf geprüft, ob es das neueste im Zertifikatspeicher des lokalen Computers ist. Als Bestandteil der Prüfung wird eine Domänenliste für potenzielle Zertifikatdomänen erstellt. Diese Domänenliste basiert auf der folgenden Computerkonfiguration:

    • Dem vollqualifizierten Domänennamen (FQDN), wie mail.contoso.com

    • Dem Hostnamen wie "EdgeServer01"

    • Dem physischen FQDN wie "EdgeServer01.contoso.com"

    • Dem physischen Hostnamen wie "EdgeServer01"

      Hinweis

      Wenn der Server als Cluster konfiguriert ist oder für einen Computer, auf dem der Microsoft Windows-Lastenausgleich ausgeführt wird, wird anstelle der Einstellung DnsFullyQualifiedDomainName der folgende Registrierungsschlüssel geprüft: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface{GUID}\ClusterName

  7. Nach der Erstellung der Domänenliste sucht der Zertifikatsauswahlprozess alle Zertifikate im Zertifikatspeicher, die einen passenden FQDN aufweisen. Der Zertifikatsauswahlprozess identifiziert aus dieser Liste eine Liste der in Betracht kommenden Zertifikate. Die in Betracht kommenden Zertifikate müssen die folgenden Kriterien erfüllen:

    • Bei dem Zertifikat handelt es sich um ein Zertifikat der Version X.509, Version 3 oder höher.

    • Das Zertifikat weist einen zugeordneten privaten Schlüssel auf.

    • Die Felder Antragstellername oder Alternativer Antragstellername enthalten den FQDN, der in Schritt 6 abgerufen wurde.

    • Das Zertifikat ist für die Verwendung durch SSL/TLS (Secure Sockets Layer/Transport Layer Security) aktiviert. Insbesondere wurde der SMTP-Dienst mithilfe des Cmdlets Enable-ExchangeCertificate für dieses Zertifikat aktiviert.

  8. Unter den in Betracht kommenden Zertifikaten wird das beste Zertifikat basierend auf der folgenden Sequenz ausgewählt:

    1. Die in Betracht kommenden Zertifikate werden nach dem aktuellsten Valid from-Datum sortiert. Valid from ist ein Feld der Version 1 des Zertifikats.

    2. Es wird das erste gültige PKI-Zertifikat (Public Key Infrastructure) verwendet, das in der Liste gefunden wird.

    3. Wenn keine gültigen PKI-Zertifikate gefunden werden, wird das erste selbst signierte Zertifikat verwendet.

  9. Nachdem das beste Zertifikat ermittelt wurde, wird eine weitere Prüfung durchgeführt, um festzustellen, ob der Fingerabdruck dem Zertifikat entspricht, das im Attribut msExchServerInternalTLSCert gespeichert ist. Bei einer Entsprechung wird das Zertifikat für X-ANONYMOUSTLS verwendet. Wenn keine Übereinstimmung vorliegt, wird die Ereignis-ID 1037 im Anwendungsprotokoll protokolliert. Dies führt jedoch nicht dazu, dass für X-ANONYMOUSTLS ein Fehler auftritt.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.