Ticket: Exchange 2007 Disable TLS between HUB (Part 1)
如何停用Exchange 2007 HUB 間的 SMTP TLS? (Part 1)
資料路徑安全性參照
Hub Transport Server 間的所有流量都會使用含有自行簽署憑證的 TLS 進行加密,這些憑證是由 Exchange 2007 安裝程式預設安裝的。Hub Transport Server 之間的流量是使用 Kerberos 驗證來驗證。
選擇輸出匿名 TLS 憑證
Hub Transport Server 之間的 SMTP 工作階段,目的在於只以公開金鑰加密。
對於 Hub Transport Server 之間的通訊,會使用匿名 TLS 和憑證的公開金鑰來加密工作階段。但接下來的驗證是 Kerberos 驗證。在建立 SMTP 工作階段時,接收伺服器會初始化憑證選擇程序,以決定在 TLS 交涉時要使用的憑證。接收伺服器也會執行憑證選擇程序。
相關的討論
1. Hub Transport routing between servers
2. Disable TLS
3. How to disable Exchange 2007 SMTP X-ANONYMOUSTLS encryption?
4. Exchange 2007 HUB to HUB 传输
傳輸層安全性
在 SMTP 通訊協定交談期間,用戶端會發出 SMTP STARTTLS 命令,來要求針對此工作階段交涉 TLS。用戶端在 TLS 通訊協定交涉過程中會從伺服器接收 X.509 憑證。接著用戶端驗證原則會決定是否應該驗證接收伺服器憑證,以及是否應該將其他任何準則套用至憑證 (如名稱比對)。
TLS 交涉過程中可選擇讓接收伺服器也向傳送伺服器要求憑證。如果傳送伺服器將憑證傳送給接收伺服器,則接收伺服器上的本機原則會決定如何驗證憑證,以及因驗證而授與傳送伺服器的權限。
將 TLS 用於伺服器驗證時,只會驗證接收伺服器憑證。如果將 TLS 用於相互驗證,則必須驗證傳送伺服器憑證及接收伺服器憑證。
如果在 Exchange 2007 接收連接器上設定 TLS,則伺服器必須具有 X.509 憑證。此憑證可以是自行簽署的憑證,或由憑證授權單位 (CA) 簽署的憑證。Exchange 伺服器會在本機儲存區尋找符合連接器 FQDN 的憑證。傳送伺服器會選擇 TLS 通訊協定的使用方式。當 Exchange 僅針對機密性使用 TLS 時,Exchange 用戶端不會驗證憑證。例如,當 Exchange 透過 TLS 通訊協定使用 Kerberos 以在 Hub Transport Server 之間使用 TLS 時,會在伺服器之間建立機密通道,而不會對憑證執行驗證。伺服器之間的驗證是在 TLS 通訊協定完成後使用 Kerberos 進行。
Blog 延伸閱讀
Ticket: Exchange 2007 Disable TLS between HUB (Part 2)
More Information
1. Exchange 2007 傳輸權限模型
2. 資料路徑安全性參照 (詳細的傳輸Port, 加密, 驗證方式)3. 選擇輸出匿名 TLS 憑證
Comments
Post a Comment