none
Exchange 2013 - Certificato ECP

    Domanda

  • Buongiorno,

    da poco ho rinnovato un certificato interno per la console ECP di Exchange 2013 CU19.

    Premetto che per Exchange ho 3 VM Windows 2012; due in DAG con i DB e le Mailbox, la terza VM è solo per l' accesso ECP.

    Subito dopo aver aggiornato il certificato sulla VM ECP, nell' event viewer ricevo ripetutamente il seguente log:

    Event id 36887, Schannel, Error

    A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 46.

    La console funziona e vedo anche il nuovo certificato, ma non capisco i messaggi di errore nell' event viewer ogni 5 minuti.

    Grazie per il supporto.

    giovedì 28 giugno 2018 11:26

Tutte le risposte

  • Ciao, prova a dare un occhio qui.

    https://social.technet.microsoft.com/Forums/ie/en-US/d6d0402c-9413-4ab3-b8eb-399a3efcf383/event-id-36887-on-exchange-2013-cas-servers?forum=exchangesvrdeploylegacy

    non è che hai rinnovato con una differente CA che magari ha delle impostazioni diverse? perchè di solito si vedevano quando magari si andava a prendere CA strane e meno conosciute delle classiche...

    A.

    giovedì 28 giugno 2018 14:22
    Moderatore
  • Ciao Alessandro,

    grazie per la risposta.

    Il certificato rinnovato tramite la CA interna del dominio è inerente a ECP, del tipo "mailadmin.miodominio.it".

    Il file .req l' ho emesso tramite ECP, dalla sezione "Certificates".

    Ovviamente il server già conosce la CA-ROOT e CA-SUBORDINATE; il nuovo certificato è legato ai servizi IIS, SMTP, POP, IMAP. Il fatto strano è che ricevo il messaggio di errore proprio da ieri dopo il rinnovo; al momento, sembra funzionare tutto.

    Grazie ancora per il supporto.

    giovedì 28 giugno 2018 14:49
  • non ho capito...in che senso una CA interna al dominio? Hai una CA pubblicata? o stai usando una CA emittente interna coi nomi esterni? Hai riavviato gli iis dopo l'installazione dei certificati?

    Comunque...sempre certificato pubblico comprato sui server exchange...dove hai dei DAG poi...se no ci sono sempre problemi..

    A.

    giovedì 28 giugno 2018 14:54
    Moderatore
  • Caio Alessandro,

    i due nodi DAG Exchange hanno un certificato esterno wildcard *.dominioposta.it.

    La terza VM dove c'è solo ECP, su IIS c'è un certificato interno emesso da CA interna del dominio che richiama "mailadmin.dominioad". E' solo sul Server ECP che ho l' errore nell' event viewer, nei nodi DAG è tutto ok.

    giovedì 28 giugno 2018 15:26
  • ma se hai un wildcard perchè non le emetti e lo carichi anche per l'ecp visto che è a dominio esterno? e poi cambi i nomi anche a quella vdir allineandola? 

    non capisco.

    poi quel certificato scade assieme agli altri? stessa data? hai provato banalmente a ricaricare quello precedente o l'hai già cassato?

    giovedì 28 giugno 2018 15:57
    Moderatore
  • Buongiorno Alessandro,

    il cliente mi ha comunicato che hanno preferito procedere così, con un certificato GeoTrust esterno wildcard per il dominio di posta e un certificato interno (emesso dalla CA interna) per la console ECP che ha un dominio differente.

    Tramite il link https://blogs.msdn.microsoft.com/kaushal/2012/10/05/ssltls-alert-protocol-the-alert-codes/ ho visto che il codice 46 corrisponde a: 

    certificate_unknown
    An unspecified issue took place while processing the certificate that made it unacceptable.

    Il fatto è che, nonostante l' errore, la pagina https ecp funziona senza problemi.

    venerdì 29 giugno 2018 10:07
  • Si, io ho capito. Ma non è che ogni cosa che viene decisa abbia un senso pratico solo perchè si può fare. Non ha senso avere un wildcard ed usare un diverso certificato per la ECP console sei d'accordo? 

    Poi...se al suggermento "ma perchè non viene allineato con gli altri certificati?" la risposta è "il cliente ha preferito così" allora siamo fermi. Se tutto funziona se lo tiene così. Se invece vuole provare a risolvere l'errore perchè gli da noia prova a sostituire il certificato con quello uguale agli altri dello stesso emittente e vede come si comporta. Mal che vada rimette su quello attuale. Tra l'altro ha due scadenze diverse una per la ECP ed una per il resto..mah..

    A.

    venerdì 29 giugno 2018 13:18
    Moderatore
  • Ciao Alessandro,

    modifico un pò di cose e ci aggiorniamo; il fatto di avere un unico certificato senza pensare alle scadenze varie mi sembra corretto e più pratico.

    Grazie ancora

    venerdì 29 giugno 2018 14:40
  • Ciao a tutti,
    hai provato a vedere nelle proprietà del certificato se tra quello pubblico e quello privato c'è qualche differenza ? Banalmente mi viene da chiederti se su quello privato è presente il campo per la pubblicazione delle CRL, in passato ho avuto problemi per questo...
    Aggiornaci.

    Ciao

    giovedì 5 luglio 2018 09:30
  • Ciao OttobreRosso,

    ho verificato il link della CRL sul certificato privato:

    [1]CRL Distribution Point
         Distribution Point Name:
              Full Name:
                   URL=http://miacasub.miodominio/certenroll/nome_subordinate-CA.crl

    Funzionante e raggiungibile dal Server ECP.

    giovedì 5 luglio 2018 10:09