locked
Nefunguje prikaz Enable-ExchangeCertificate -Server 'SRV1' -Services 'None' RRS feed

  • Dotaz

  • Zdravim,

    jak docilit toho, aby exchange 2010 (UR 8v2) pouzival pouze urcity certifikat a nikoliv ty, ktere ziskal od lokalni CA?

    Nedavno server ziskal certifikat diky autoenrollmentu a to zpusobilo, ze se outlook klientum pripojujicim se na IMAP zacalo zobrazovat hlaseni: "Server, ke kteremu jste pripojeni, pouziva certifikat zabezpeceni, ktery nelze overit. The target principal name is incorrect."

    Snazil jsem se nove ziskany certifikat neutralizovat pomoci prikazu: Enable-ExchangeCertificate -Server 'SRV1' -Services 'None' -Thumbprint 'C32CF0CB3BD320207C992E156C37CE3...' (...neuvadim cely Thumbprint), ale pritom nedojde k zadne zmene a pri vypisu Get-ExchCngeCertifiCAte | select Subject,Services,Thumbprint,Issuer ho porad vidim s pridelenymi servisy IMAP, POP, SMTP ?!

    Subject                                                      Services Thumbprint                         Issuer
    -------                                                      -------- ----------                         ------
    CN=SRV1.domain.com                                  IMAP, POP, SMTP C32CF2CA3BD320207CA92E152C37CE3... CN=Interni CA...
    CN=SRV1post, CN=SRV1, CN=SRV1p...                    IMAP, POP, SMTP 5CBA9FC2E73AE6CBB30D53026DB8B53... CN=Interni CA...
    CN=SRV1.domain.com, O=Organiz...               IMAP, POP, IIS, SMTP 3CA71A79D21F13235A61F1C25F15638... CN=Externi CA
    CN=WMSvc-SRV1                                                   None 3E05D2331E50A01F3B0705E827CE29D... CN=WMSvc-SRV1

    Pokud pozadovanemu certifikatu pridelim veskere servisy prikazem Enable-ExchangeCertificate -Server 'SRV1' -Services 'IMAP,POP,IIS,SMTP' -Thumbprint '3CA71A79D21F13235A61F1C25F15638...', hlasi konzola WARNING: This certificate will not be used for external TLS connections with an FQDN of 'SRV1.domain.com' because the CA-signed certificate with thumbprint 'C32CF0CB3BD320207C992E156C37CE3...' takes precedence. The following receive/send connectors match that FQDN: Default SRV1.


    ----- Lukas -----

    středa 8. dubna 2015 13:57

Odpovědi

  • Klienti maji v hodnotach pro imap uvedenu jednu z alternativnich serverovych adres, ktera figuruje v SAN u oficialniho certifikatu. Tato adresa vsak chybi u certifikatu ziskaneho pomoci autoenrollmentu urcite sablony od lokalni CA - neni to selfsigned.

    Jedno nechapu. Celou dobu vsechno funguje, server ma spravny oficialni certifikat, ktery je platny a bez problemu ho pouziva + certifikaty od lokalni CA a pak si jednou rekne (urci prioritu), ze zacne pro pripojeni pouzivat jiny?!

    Proc prikaz Enable-ExchangeCertificate -Server 'SRV1' -Services 'None' -Thumbprint 'C32CF0CB...' nema vahu ??

    Nastesti je situace opet v poradku, certifikaty co nejsou nutne, jsem neutralizoval zakazanim patricnych ucelu a take jsem vygeneroval novy certifikat se SAN u lokalni CA. Zda se, ze si server opet urcil spravnou precedenci...


    ----- Lukas -----

    • Označen jako odpověď Milos Puchta pondělí 27. dubna 2015 20:06
    pondělí 13. dubna 2015 10:08

Všechny reakce

  • Ako mas dany IMAP server nastaveny v profile Outlook na klientoch? Mozes dat screenshot?

    ---------- Ondrej Zilinec - Cievo ----------

    čtvrtek 9. dubna 2015 13:10
  • A nebylo by lepsi vydat lokalni CA spravny certifikat obsahujici vsechna pouzivana Exchange jmena?Tj certifikat se SAN (subject alternate name).

    Proc se pouziva selfsigned?

    pátek 10. dubna 2015 12:15
  • Klienti maji v hodnotach pro imap uvedenu jednu z alternativnich serverovych adres, ktera figuruje v SAN u oficialniho certifikatu. Tato adresa vsak chybi u certifikatu ziskaneho pomoci autoenrollmentu urcite sablony od lokalni CA - neni to selfsigned.

    Jedno nechapu. Celou dobu vsechno funguje, server ma spravny oficialni certifikat, ktery je platny a bez problemu ho pouziva + certifikaty od lokalni CA a pak si jednou rekne (urci prioritu), ze zacne pro pripojeni pouzivat jiny?!

    Proc prikaz Enable-ExchangeCertificate -Server 'SRV1' -Services 'None' -Thumbprint 'C32CF0CB...' nema vahu ??

    Nastesti je situace opet v poradku, certifikaty co nejsou nutne, jsem neutralizoval zakazanim patricnych ucelu a take jsem vygeneroval novy certifikat se SAN u lokalni CA. Zda se, ze si server opet urcil spravnou precedenci...


    ----- Lukas -----

    • Označen jako odpověď Milos Puchta pondělí 27. dubna 2015 20:06
    pondělí 13. dubna 2015 10:08