none
Exchange 2010 SSL Сертификат недопустим для использования с Exchange Server RRS feed

  • Вопрос

  • Добрый день!

    Имеется Exchange 2010 с установленными ролями UA, HT, MB. Установил на IIS сертификат (выпущенный Thawte, SSLWildCard, удостоверяет *.domain.com). На иис встал нормально, в привязках для https установил, промежуточный сертификат издателя на сервере так же установлен. Лезу в Exchange - вижу сертификат самоподписанный "Microsoft Exchange", назначенный для SMTP, POP, IMAP и вижу сертификат от Thawte, назначенный для IIS и со статусом "Сертификат недопустим для использования с Exchange Server".

    В EMC командлеты Get-ExchangeSertificate и Enable-ExchangeSertificate выпадают с ошибками "Имя "Enable-ExchangeSertificate" не распознано как имя командлета, функции, файла скрипта или выполняемой программы."

     

    Вопрос - что нужно сделать чтобы данный сертификат использовать для остальных сервисов Exсhange?

Ответы

  • Все решилось, господа!

     

    Как оказалось, необходимо было промежуточный сертификат издателя добавить не в хранилище промежуточных, а в хранилище доверенных ЦС, причем как на сервере с Exchange, так и на контроллере домена.

    23 августа 2011 г. 9:17

Все ответы

  • Сравните свой сертификат с требованиями http://technet.microsoft.com/en-us/library/aa998840.aspx
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Модератор
  • В целом все нормально, в одном туплю - а как проверить кодировку полей (Unicode это или нет)? А так соответсвует, запрос на сертификат создавался в IIS и все поля заполнялись корректно - иначе бы он не дал запрос создать.
  • У вас команды написаны неправильно. Надо Get-ExchangeCertificate  и Enable-ExchangeSertificate
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Модератор
  • Проверьте добавлен ли ЦС выпустивший ваш сертификат в доверенные корневые учетной записи компьютера Exchange. Попробуйте импортировать сертификат не через IIS а через  EMC.
  • У вас команды написаны неправильно. Надо Get-ExchangeCertificate  и Enable-ExchangeSertificate
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Упс))
    4 июля 2011 г. 11:46
  • Проверьте добавлен ли ЦС выпустивший ваш сертификат в доверенные корневые учетной записи компьютера Exchange. Попробуйте импортировать сертификат не через IIS а через  EMC.

    сертификаты корневых ЦС издателя на сервере в доверенные добавлены, добавлены промежуточные ЦС издателя в соответствующее хранилище. Импортировать через EMC попробовал ничего не изменилось, сейчас попробую через PS
    4 июля 2011 г. 11:47
  • через EMS командой
    Enable-ExchangeCertificate -Thumbprint {thumbprint} -Services POP,IMAP,SMTP,IIS
    
    Сертификат назначился только для IIS и SMTP.

    При этом его статус так и остался "недопустим"
    4 июля 2011 г. 11:53
  • рестартовать службу iis как минимум, а сервер как максимум пробовали?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    5 июля 2011 г. 12:19
  • IIS ресетил, сервак еще не рестартил седня ночью попробую

     

  • А если самоподписанный назначать или собственного ЦС, то все нормально проходит?

    Что в логах во время импорта?

  • А если самоподписанный назначать или собственного ЦС, то все нормально проходит?

    Что в логах во время импорта?


    Все нормально проходит, логи чуть позже
    6 июля 2011 г. 10:59
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    11 июля 2011 г. 12:05
  • Господа, извиняюсь, что очень долго не продолжал развивать тему.

     

    В общем, очень глупый вопрос - а где можно логи эксченджа посмотреть? Обрыл все папочки, не нашел.

    Зато нашел в виндовых эвентах предупреждение:

    (Идентификатор процесса 8280, поток 647) Задача Enable-ExchangeCertificate, записывающая предупреждение при обработке записи индекса 0. Предупреждение: Этот сертификат не будет использоваться для внешних подключений TLS с полным доменным именем "mail.domain.RU", так как приоритет имеет самозаверяющий сертификат с отпечатком "*****************************************". Следующие соединители соответствуют этому полному доменному имени: Client MAIL, Default MAIL.


     


    19 августа 2011 г. 10:08
  • Все решилось, господа!

     

    Как оказалось, необходимо было промежуточный сертификат издателя добавить не в хранилище промежуточных, а в хранилище доверенных ЦС, причем как на сервере с Exchange, так и на контроллере домена.

    23 августа 2011 г. 9:17