none
Exchange 2010 - 4.7.5 Certificate validation failure RRS feed

  • Allgemeine Diskussion

  • Guten Tag,

    ich habe eine Frage zu einer TLS Fehlermeldung. Wir sind gerade dabei mit einer Firma eine Kommunikation über SMTP TLS zu realisieren. Meiner Meinung nach habe ich alle relevante Punkte auf unserem System korrekt eingerichtet:

    - über Set-Transportconfig die Domänen bei der TLS Konfiguration hinterlegt

    - Das Stammzertifizierungsstellenzertifikat in den vertrauenswürgen Speicher abgelegt

    - CRL Download über Certutil getestet

    - SSL Zertifikat an den Dienst gebunden

    Beim senden einer Mail an den Empfänger bekomme ich jedoch folgende Fehlermeldung :

    451 4.4.0 Primary target
    IP address responded with: 454 4.7.5 Certificate validation failure

    Nach meinem Verständnis liegt das Problem bei der Firma der ich die Mail schicken möchte, oder interpretiere ich die Fehlermeldung falsch? Die Firma wiederrum behauptet das bei denen alles richtig eingestellt ist.

    Ich vermute das sie meinem Zertifikat auf Grund einer nicht vollständig vertrauenden Zertifikatskette nicht vertrauen.

    Ich danke euch schon einmal für Eure Hilfe!

    Michael Scherr

    • Typ geändert Alex Pitulice Montag, 13. Mai 2013 09:39 Warten auf Feedback
    Mittwoch, 8. Mai 2013 11:14

Alle Antworten

  • Moin,

    habt ihr denn die betreffenden Zertifikate ausgetauscht und in den Connectoren hinterlegt?

    Siehe auch hier:

    http://technet.microsoft.com/en-us/library/bb124392(v=exchg.141).aspx


    Grüße aus Berlin schickt Robert
    MVP Exchange Server

    Mittwoch, 8. Mai 2013 16:35
  • Hallo,

    die Zertifikate in den Connectoren hinterlegt? Wenn du meinst das ich die Domains meines Partners in den (in meinem Fall) speziellen Sendeconnector für TLS hinterlegt habe dann ja. Der Empfangsconnector ist bei mir auch so eingestellt da er TLS an nimmt.

    Mfg

    Michael Scherr

    Mittwoch, 8. Mai 2013 17:13
  • Hi Michael,

    es liest sich tatsächlich so, als würde die Gegenstelle Deinem Zertifikat nicht vertrauen. Handelt es sich um self-signed Zertifikate ? Hat die Gegenstelle für euer Zertifikat / euere CA vertrauen hergestellt ?


    Grüße, Christoph

    Freitag, 10. Mai 2013 09:44
  • Hallo,

    leider noch nicht. Das Problem ist das die Gegenstelle ein großer Konzern ist und natürlich erst einmal alle Schuld von sich weist. Ich bin im Moment noch dran die Fehlerursache weiter einzugrenzen.

    Die Zertifikate von unserer Seite aus sind nicht selfsigned, die Gegenstelle hat soweit uns gesagt wurde auch die rootCAs entsprechend bei sich zu den vertrauenswürdigen Stammzertifizierungsstellen hinzugefügt.

    Mit freundlichen Grüßen

    Michael Scherr


    Montag, 13. Mai 2013 09:40
  • Hallo,

    könnte es daran liegen das mein Partner Postfix als mailserver verwendet. Muss in solch einem Fall eventuell an dem Exchange 2007 was besonderes eingestellt werden?

    Laut dem Log verwendet Postfix folgende Verschlüsslung: TLSv1 with cipher
    AES128-SHA (128/128 bits)

    Mfg

    Michael Scherr

    Montag, 13. Mai 2013 12:57
  • Hi Michael,

    kann Dein Exchange die Sperrlistenverteilerpunkte des Postfix Zertifikats erreichen ?

    Falls möglich schau dir mal das Zertifikat des Postfix an und checke über die Details die Sperrlistenverteilerpunkte.

    Gibt es noch weitere Meldungen in den Eventlogs, dort sollte evtl. eine genauere Begründung der Ablehnung zu finden sein.

    Grüße, Christoph


    Montag, 13. Mai 2013 18:09
  • Hi Michael,

    gibt's was neues ?

    Schraub mal das Logging von Deinem Sende-Connector hoch und schau Dir das Log an.

    Wenn Du mehrere Zertifikate auf dem Exchange Server liegen hast, vergleiche mal den Thumbprint des dort gelisteten Zertifikats im SMTP-Strom und schaue welches Dein Exchange tatsächlich verwendet.


    Grüße, Christoph

    Freitag, 17. Mai 2013 15:49