Principale utente con più risposte
Exchange 2013 - Certificato ECP

Domanda
-
Buongiorno,
da poco ho rinnovato un certificato interno per la console ECP di Exchange 2013 CU19.
Premetto che per Exchange ho 3 VM Windows 2012; due in DAG con i DB e le Mailbox, la terza VM è solo per l' accesso ECP.
Subito dopo aver aggiornato il certificato sulla VM ECP, nell' event viewer ricevo ripetutamente il seguente log:
Event id 36887, Schannel, Error
A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 46.
La console funziona e vedo anche il nuovo certificato, ma non capisco i messaggi di errore nell' event viewer ogni 5 minuti.
Grazie per il supporto.
Risposte
-
Ciao, prova a dare un occhio qui.
https://social.technet.microsoft.com/Forums/ie/en-US/d6d0402c-9413-4ab3-b8eb-399a3efcf383/event-id-36887-on-exchange-2013-cas-servers?forum=exchangesvrdeploylegacy
non è che hai rinnovato con una differente CA che magari ha delle impostazioni diverse? perchè di solito si vedevano quando magari si andava a prendere CA strane e meno conosciute delle classiche...
A.
- Contrassegnato come risposta SysAdmin_IT sabato 22 settembre 2018 07:16
-
Ciao OttobreRosso,
ho verificato il link della CRL sul certificato privato:
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://miacasub.miodominio/certenroll/nome_subordinate-CA.crlFunzionante e raggiungibile dal Server ECP.
- Contrassegnato come risposta SysAdmin_IT sabato 22 settembre 2018 07:16
Tutte le risposte
-
Ciao, prova a dare un occhio qui.
https://social.technet.microsoft.com/Forums/ie/en-US/d6d0402c-9413-4ab3-b8eb-399a3efcf383/event-id-36887-on-exchange-2013-cas-servers?forum=exchangesvrdeploylegacy
non è che hai rinnovato con una differente CA che magari ha delle impostazioni diverse? perchè di solito si vedevano quando magari si andava a prendere CA strane e meno conosciute delle classiche...
A.
- Contrassegnato come risposta SysAdmin_IT sabato 22 settembre 2018 07:16
-
Ciao Alessandro,
grazie per la risposta.
Il certificato rinnovato tramite la CA interna del dominio è inerente a ECP, del tipo "mailadmin.miodominio.it".
Il file .req l' ho emesso tramite ECP, dalla sezione "Certificates".
Ovviamente il server già conosce la CA-ROOT e CA-SUBORDINATE; il nuovo certificato è legato ai servizi IIS, SMTP, POP, IMAP. Il fatto strano è che ricevo il messaggio di errore proprio da ieri dopo il rinnovo; al momento, sembra funzionare tutto.
Grazie ancora per il supporto.
-
non ho capito...in che senso una CA interna al dominio? Hai una CA pubblicata? o stai usando una CA emittente interna coi nomi esterni? Hai riavviato gli iis dopo l'installazione dei certificati?
Comunque...sempre certificato pubblico comprato sui server exchange...dove hai dei DAG poi...se no ci sono sempre problemi..
A.
-
Caio Alessandro,
i due nodi DAG Exchange hanno un certificato esterno wildcard *.dominioposta.it.
La terza VM dove c'è solo ECP, su IIS c'è un certificato interno emesso da CA interna del dominio che richiama "mailadmin.dominioad". E' solo sul Server ECP che ho l' errore nell' event viewer, nei nodi DAG è tutto ok.
-
ma se hai un wildcard perchè non le emetti e lo carichi anche per l'ecp visto che è a dominio esterno? e poi cambi i nomi anche a quella vdir allineandola?
non capisco.
poi quel certificato scade assieme agli altri? stessa data? hai provato banalmente a ricaricare quello precedente o l'hai già cassato?
-
Buongiorno Alessandro,
il cliente mi ha comunicato che hanno preferito procedere così, con un certificato GeoTrust esterno wildcard per il dominio di posta e un certificato interno (emesso dalla CA interna) per la console ECP che ha un dominio differente.
Tramite il link https://blogs.msdn.microsoft.com/kaushal/2012/10/05/ssltls-alert-protocol-the-alert-codes/ ho visto che il codice 46 corrisponde a:
certificate_unknown
An unspecified issue took place while processing the certificate that made it unacceptable.Il fatto è che, nonostante l' errore, la pagina https ecp funziona senza problemi.
-
Si, io ho capito. Ma non è che ogni cosa che viene decisa abbia un senso pratico solo perchè si può fare. Non ha senso avere un wildcard ed usare un diverso certificato per la ECP console sei d'accordo?
Poi...se al suggermento "ma perchè non viene allineato con gli altri certificati?" la risposta è "il cliente ha preferito così" allora siamo fermi. Se tutto funziona se lo tiene così. Se invece vuole provare a risolvere l'errore perchè gli da noia prova a sostituire il certificato con quello uguale agli altri dello stesso emittente e vede come si comporta. Mal che vada rimette su quello attuale. Tra l'altro ha due scadenze diverse una per la ECP ed una per il resto..mah..
A.
-
-
Ciao a tutti,
hai provato a vedere nelle proprietà del certificato se tra quello pubblico e quello privato c'è qualche differenza ? Banalmente mi viene da chiederti se su quello privato è presente il campo per la pubblicazione delle CRL, in passato ho avuto problemi per questo...
Aggiornaci.Ciao
-
Ciao OttobreRosso,
ho verificato il link della CRL sul certificato privato:
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://miacasub.miodominio/certenroll/nome_subordinate-CA.crlFunzionante e raggiungibile dal Server ECP.
- Contrassegnato come risposta SysAdmin_IT sabato 22 settembre 2018 07:16
-
-
Buongiorno Alessandro e OttobreRosso,
grazie per il supporto, risolto.
Il problema risiedeva in un certificato scaduto non rimosso correttamente; inoltre, anche al path CRL Distribution Point non corretto.
Ora, sembra tutto funzionare senza errori.
Grazie ancora, alla prossima
:)