none
Срочно. Не создается новый сертификат для SMTP. RRS feed

  • Вопрос

  • Добрый день, коллеги.

    Стоит Exchange2007 поверх WinServ2003. Все обновления установлены. Эта же машина является Активным каталогом.

    Год Exchange 2007 работал без проблем. Истек срок действия само-подписанного сертификата SMTP. Захожу под администратором(и локально и через RemoteDesktop).

    Пытаюсь сделать New-ExchangeCertificate -DomainName anyserver.com -FriendlyName anyserver.com -PrivateKeyExportable $true -Services IMAP, SMTP

    Пишет, что у меня нет прав на создание сертификата. Хотя пользователь administrator входит в группу Exchange Organization Administrators.

    Тогда решил создать сертификат с поднятой мною службы сертификатов. Год назад я создавал сертификат для OWA, и все прекрасно работало. Сейчас, при попытке импортировать созданный сертификат на локальный компьютер(
    ), тоже кричит, что нет прав, хотя я и в группе Schema Admins, Enterprise Admins и Domain Admins.

    Подскажите, пожалуйста, как выйти из данной ситуации. Заходить в mmc и открывать список сертификатов локальной машины я могу. В установке новых мне отказано.

    Спасибо.
    • Перемещено Hengzhe Li 16 марта 2012 г. 8:33 forum merge (От:Exchange Server 2007)
    19 января 2009 г. 10:23

Ответы

  • А что с правами на ветку реестра

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates

    Может у вас права на неё изменены и вы не можете ничего сделать из за нехватки привилегий?

    а точнее выяснить вам поможет ProcessMonitor, натравленный на MMC в момент добавления сертификата, когда у вас ошибка появляется.
    19 января 2009 г. 12:00

Все ответы

  •  YRV написано:
    Добрый день, коллеги.

    Стоит Exchange2007 поверх WinServ2003. Все обновления установлены. Эта же машина является Активным каталогом.

    Год Exchange 2007 работал без проблем. Истек срок действия само-подписанного сертификата SMTP. Захожу под администратором(и локально и через RemoteDesktop).

    Пытаюсь сделать New-ExchangeCertificate -DomainName anyserver.com -FriendlyName anyserver.com -PrivateKeyExportable $true -Services IMAP, SMTP

    Пишет, что у меня нет прав на создание сертификата. Хотя пользователь administrator входит в группу Exchange Organization Administrators.

    Тогда решил создать сертификат с поднятой мною службы сертификатов. Год назад я создавал сертификат для OWA, и все прекрасно работало. Сейчас, при попытке импортировать созданный сертификат на локальный компьютер(
    ), тоже кричит, что нет прав, хотя я и в группе Schema Admins, Enterprise Admins и Domain Admins.

    Подскажите, пожалуйста, как выйти из данной ситуации. Заходить в mmc и открывать список сертификатов локальной машины я могу. В установке новых мне отказано.

    Спасибо.


    проверьте групповые политики
    19 января 2009 г. 10:51
  • Все просмотрел, ничего похожего. Может не там смотрел!? Уточните пожалуйста. Почта не ходит. Вобщем нервяк и звонки каждые 15 секунд.
    19 января 2009 г. 11:34
  •  YRV написано:
    Все просмотрел, ничего похожего. Может не там смотрел!? Уточните пожалуйста. Почта не ходит. Вобщем нервяк и звонки каждые 15 секунд.


    Что в логах сервера ?
    19 января 2009 г. 11:38
  • А что с правами на ветку реестра

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates

    Может у вас права на неё изменены и вы не можете ничего сделать из за нехватки привилегий?

    а точнее выяснить вам поможет ProcessMonitor, натравленный на MMC в момент добавления сертификата, когда у вас ошибка появляется.
    19 января 2009 г. 12:00
  • Даже когда просто пытаюсь сделать файл с запросом сертификата, он мне выдает:
    New-ExchangeCertificate : Either you cannot overwrite the output file C:\smtpimap.req because it is set to read-only or you have insufficient permissions to create this certificate request.
    At line:1 char:24
    + New-ExchangeCertificate  <<<< -GenerateRequest -Path C:\smtpimap.req -DomainName anyserver.com -PrivateKeyExportable $true

    Зашел на свой сервер, где поднят сервер сертификатов по WEB доступу. Задал данные и создал просто файл запроса. Потом через него же создал сертификат. Импортировал в папку сертификатов локального компьютера, импортировалось. Посмотрел в ExchangeShell, новый сертификат появился. Настроил на него SMTP сервис. Внешне выглядит шикарно. Но все равно не хочет работать.

    Когда делаю: Get-ExchangeCertificate |FL

    выходит:

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                         .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                         ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {anyserver.com}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : DC=certserver, DC=com
    NotAfter           : 1/19/2011 1:50:21 PM
    NotBefore          : 1/19/2009 1:50:21 PM
    PublicKeySize      : 1024
    RootCAType         : Enterprise
    SerialNumber       : 329AE854000000000023
    Services           : IMAP, SMTP
    Status             : Valid
    Subject            : CN=anyserver.com, O=company, L=spb, C=RU
    Thumbprint         : 3E040D5B7195ABB0C4F6849840E179B2D5872475


    Появились:

    Event Type:    Error
    Event Source:    MSExchangeTransport
    Event Category:    TransportService
    Event ID:    12013
    Date:        1/19/2009
    Time:        2:28:34 PM
    User:        N/A
    Computer:   
    anyserver
    Description:
    Microsoft Exchange could not load the certificate with thumbprint of 3E040D5B7195ABB0C4F6849840E179B2D5872475 from the personal store on the local computer. This certificate was configured for authentication with other Exchange servers. Mail flow to other Exchange servers could be affected by this error. If the certificate with this thumbprint still exists in the personal store, run Enable-ExchangeCertificate 3E040D5B7195ABB0C4F6849840E179B2D5872475 -Services SMTP to resolve the issue. If the certificate does not exist in the personal store, restore it from backup by using the Import-ExchangeCertificate cmdlet, or create a new certificate for the FQDN or the server enabled for SMTP by running the following command: New-ExchangeCertificate -DomainName serverfqdn -Services SMTP.

    Event Type:    Error
    Event Source:    MSExchangeTransport
    Event Category:    TransportService
    Event ID:    12014
    Date:        1/19/2009
    Time:        2:28:34 PM
    User:        N/A
    Computer:    anyserver
    Description:
    Microsoft Exchange couldn't find a certificate that contains the domain name anyserver.com in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Receive from Internet with a FQDN parameter of anyserver.com. If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.




    19 января 2009 г. 14:54
  •  YRV написано:
    Даже когда просто пытаюсь сделать файл с запросом сертификата, он мне выдает:
    New-ExchangeCertificate : Either you cannot overwrite the output file C:\smtpimap.req because it is set to read-only or you have insufficient permissions to create this certificate request.
    At line:1 char:24
    + New-ExchangeCertificate  <<<< -GenerateRequest -Path C:\smtpimap.req -DomainName anyserver.com -PrivateKeyExportable $true

    Зашел на свой сервер, где поднят сервер сертификатов по WEB доступу. Задал данные и создал просто файл запроса. Потом через него же создал сертификат. Импортировал в папку сертификатов локального компьютера, импортировалось. Посмотрел в ExchangeShell, новый сертификат появился. Настроил на него SMTP сервис. Внешне выглядит шикарно. Но все равно не хочет работать.

    Когда делаю: Get-ExchangeCertificate |FL

    выходит:

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                         .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                         ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {anyserver.com}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : DC=certserver, DC=com
    NotAfter           : 1/19/2011 1:50:21 PM
    NotBefore          : 1/19/2009 1:50:21 PM
    PublicKeySize      : 1024
    RootCAType         : Enterprise
    SerialNumber       : 329AE854000000000023
    Services           : IMAP, SMTP
    Status             : Valid
    Subject            : CN=anyserver.com, O=company, L=spb, C=RU
    Thumbprint         : 3E040D5B7195ABB0C4F6849840E179B2D5872475


    Появились:

    Event Type:    Error
    Event Source:    MSExchangeTransport
    Event Category:    TransportService
    Event ID:    12013
    Date:        1/19/2009
    Time:        2:28:34 PM
    User:        N/A
    Computer:   
    anyserver
    Description:
    Microsoft Exchange could not load the certificate with thumbprint of 3E040D5B7195ABB0C4F6849840E179B2D5872475 from the personal store on the local computer. This certificate was configured for authentication with other Exchange servers. Mail flow to other Exchange servers could be affected by this error. If the certificate with this thumbprint still exists in the personal store, run Enable-ExchangeCertificate 3E040D5B7195ABB0C4F6849840E179B2D5872475 -Services SMTP to resolve the issue. If the certificate does not exist in the personal store, restore it from backup by using the Import-ExchangeCertificate cmdlet, or create a new certificate for the FQDN or the server enabled for SMTP by running the following command: New-ExchangeCertificate -DomainName serverfqdn -Services SMTP.

    Event Type:    Error
    Event Source:    MSExchangeTransport
    Event Category:    TransportService
    Event ID:    12014
    Date:        1/19/2009
    Time:        2:28:34 PM
    User:        N/A
    Computer:    anyserver
    Description:
    Microsoft Exchange couldn't find a certificate that contains the domain name anyserver.com in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Receive from Internet with a FQDN parameter of anyserver.com. If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.






    Для начала разберитесь с правами администратора на почтовом сервере.

    Под разными логинами с правами администратора схожие проблемы ?
    19 января 2009 г. 14:57
  • У провайдера были проблемы, сидел без интернета.

    В логах, при попытке создать новый само-подписанный сертификат выскакивает:

    Event Type:    Error
    Event Source:    MSExchange Common
    Event Category:    General
    Event ID:    4999
    Date:        1/19/2009
    Time:        5:09:28 PM
    User:        N/A
    Computer:    BRAIN
    Description:
    Watson report about to be sent to dw20.exe for process id: 2504, with parameters: E12, c-RTL-AMD64, 08.01.0240.006, powershell, M.E.Net, M.E.S.C.X.TlsCertificateInfo.CreateSelfSignCertificate, S.S.Cryptography.CryptographicException, 21bc, 08.01.0336.000.  ErrorReportingEnabled: True

    и

    Event Type:    Error
    Event Source:    Microsoft Exchange Server
    Event Category:    None
    Event ID:    5000
    Date:        1/19/2009
    Time:        5:09:35 PM
    User:        N/A
    Computer:    BRAIN
    Description:
    EventType e12, P1 c-rtl-amd64, P2 08.01.0240.006, P3 powershell, P4 m.e.net, P5 m.e.s.c.x.tlscertificateinfo.createselfsigncertificate, P6 s.s.cryptography.cryptographicexception, P7 21bc, P8 08.01.0336.000, P9 NIL, P10 NIL.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Data:
    0000: 65 00 31 00 32 00 2c 00   e.1.2.,.
    0008: 20 00 63 00 2d 00 72 00    .c.-.r.
    0010: 74 00 6c 00 2d 00 61 00   t.l.-.a.
    0018: 6d 00 64 00 36 00 34 00   m.d.6.4.
    0020: 2c 00 20 00 30 00 38 00   ,. .0.8.
    0028: 2e 00 30 00 31 00 2e 00   ..0.1...
    0030: 30 00 32 00 34 00 30 00   0.2.4.0.
    0038: 2e 00 30 00 30 00 36 00   ..0.0.6.
    0040: 2c 00 20 00 70 00 6f 00   ,. .p.o.
    0048: 77 00 65 00 72 00 73 00   w.e.r.s.
    0050: 68 00 65 00 6c 00 6c 00   h.e.l.l.
    0058: 2c 00 20 00 6d 00 2e 00   ,. .m...
    0060: 65 00 2e 00 6e 00 65 00   e...n.e.
    0068: 74 00 2c 00 20 00 6d 00   t.,. .m.
    0070: 2e 00 65 00 2e 00 73 00   ..e...s.
    0078: 2e 00 63 00 2e 00 78 00   ..c...x.
    0080: 2e 00 74 00 6c 00 73 00   ..t.l.s.
    0088: 63 00 65 00 72 00 74 00   c.e.r.t.
    0090: 69 00 66 00 69 00 63 00   i.f.i.c.
    0098: 61 00 74 00 65 00 69 00   a.t.e.i.
    00a0: 6e 00 66 00 6f 00 2e 00   n.f.o...
    00a8: 63 00 72 00 65 00 61 00   c.r.e.a.
    00b0: 74 00 65 00 73 00 65 00   t.e.s.e.
    00b8: 6c 00 66 00 73 00 69 00   l.f.s.i.
    00c0: 67 00 6e 00 63 00 65 00   g.n.c.e.
    00c8: 72 00 74 00 69 00 66 00   r.t.i.f.
    00d0: 69 00 63 00 61 00 74 00   i.c.a.t.
    00d8: 65 00 2c 00 20 00 73 00   e.,. .s.
    00e0: 2e 00 73 00 2e 00 63 00   ..s...c.
    00e8: 72 00 79 00 70 00 74 00   r.y.p.t.
    00f0: 6f 00 67 00 72 00 61 00   o.g.r.a.
    00f8: 70 00 68 00 79 00 2e 00   p.h.y...
    0100: 63 00 72 00 79 00 70 00   c.r.y.p.
    0108: 74 00 6f 00 67 00 72 00   t.o.g.r.
    0110: 61 00 70 00 68 00 69 00   a.p.h.i.
    0118: 63 00 65 00 78 00 63 00   c.e.x.c.
    0120: 65 00 70 00 74 00 69 00   e.p.t.i.
    0128: 6f 00 6e 00 2c 00 20 00   o.n.,. .
    0130: 32 00 31 00 62 00 63 00   2.1.b.c.
    0138: 2c 00 20 00 30 00 38 00   ,. .0.8.
    0140: 2e 00 30 00 31 00 2e 00   ..0.1...
    0148: 30 00 33 00 33 00 36 00   0.3.3.6.
    0150: 2e 00 30 00 30 00 30 00   ..0.0.0.
    0158: 2c 00 20 00 4e 00 49 00   ,. .N.I.
    0160: 4c 00 20 00 4e 00 49 00   L. .N.I.
    0168: 4c 00 0d 00 0a 00         L..... 
    19 января 2009 г. 14:57
  • Доступ к этой ветке у Administrators полный.

    Скачал ProcessMonitor. Сейчас буду разбираться.

    19 января 2009 г. 15:06
  • Да, я пробовал под разными логинами зайти, у всех есть полный доступ (Enterprise Admins и Exchange Organization Administrators).
    19 января 2009 г. 15:09
  • Самое, что интересное, если есть сертификат, то через mmc я могу импортироватьв папку сертификатов локального компьютера. Но это не помогает, так как мне не создать нормальный сертификат. Из mmc он позволяет только запросить сертификат типа Domain Controller. А мне необходимо WebServer. Это только через Web. А через Web я не могу сертификат импортировать в папку сертификатов локального компьютера.
    Я не могу понять почему он не дает мне создать само-подписанный сертификат и выводит в логах:

    Event Type:    Error
    Event Source:    MSExchange Common
    Event Category:    General
    Event ID:    4999
    Date:        1/19/2009
    Time:        5:09:28 PM
    User:        N/A
    Computer:    BRAIN
    Description:
    Watson report about to be sent to dw20.exe for process id: 2504, with parameters: E12, c-RTL-AMD64, 08.01.0240.006, powershell, M.E.Net, M.E.S.C.X.TlsCertificateInfo.CreateSelfSignCertificate, S.S.Cryptography.CryptographicException, 21bc, 08.01.0336.000.  ErrorReportingEnabled: True


    и


    Event Type:    Error
    Event Source:    Microsoft Exchange Server
    Event Category:    None
    Event ID:    5000
    Date:        1/19/2009
    Time:        5:09:35 PM
    User:        N/A
    Computer:    BRAIN
    Description:
    EventType e12, P1 c-rtl-amd64, P2 08.01.0240.006, P3 powershell, P4 m.e.net, P5 m.e.s.c.x.tlscertificateinfo.createselfsigncertificate, P6 s.s.cryptography.cryptographicexception, P7 21bc, P8 08.01.0336.000, P9 NIL, P10 NIL.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Data:
    0000: 65 00 31 00 32 00 2c 00   e.1.2.,.
    0008: 20 00 63 00 2d 00 72 00    .c.-.r.
    0010: 74 00 6c 00 2d 00 61 00   t.l.-.a.
    0018: 6d 00 64 00 36 00 34 00   m.d.6.4.
    0020: 2c 00 20 00 30 00 38 00   ,. .0.8.
    0028: 2e 00 30 00 31 00 2e 00   ..0.1...
    0030: 30 00 32 00 34 00 30 00   0.2.4.0.
    0038: 2e 00 30 00 30 00 36 00   ..0.0.6.
    0040: 2c 00 20 00 70 00 6f 00   ,. .p.o.
    0048: 77 00 65 00 72 00 73 00   w.e.r.s.
    0050: 68 00 65 00 6c 00 6c 00   h.e.l.l.
    0058: 2c 00 20 00 6d 00 2e 00   ,. .m...
    0060: 65 00 2e 00 6e 00 65 00   e...n.e.
    0068: 74 00 2c 00 20 00 6d 00   t.,. .m.
    0070: 2e 00 65 00 2e 00 73 00   ..e...s.
    0078: 2e 00 63 00 2e 00 78 00   ..c...x.
    0080: 2e 00 74 00 6c 00 73 00   ..t.l.s.
    0088: 63 00 65 00 72 00 74 00   c.e.r.t.
    0090: 69 00 66 00 69 00 63 00   i.f.i.c.
    0098: 61 00 74 00 65 00 69 00   a.t.e.i.
    00a0: 6e 00 66 00 6f 00 2e 00   n.f.o...
    00a8: 63 00 72 00 65 00 61 00   c.r.e.a.
    00b0: 74 00 65 00 73 00 65 00   t.e.s.e.
    00b8: 6c 00 66 00 73 00 69 00   l.f.s.i.
    00c0: 67 00 6e 00 63 00 65 00   g.n.c.e.
    00c8: 72 00 74 00 69 00 66 00   r.t.i.f.
    00d0: 69 00 63 00 61 00 74 00   i.c.a.t.
    00d8: 65 00 2c 00 20 00 73 00   e.,. .s.
    00e0: 2e 00 73 00 2e 00 63 00   ..s...c.
    00e8: 72 00 79 00 70 00 74 00   r.y.p.t.
    00f0: 6f 00 67 00 72 00 61 00   o.g.r.a.
    00f8: 70 00 68 00 79 00 2e 00   p.h.y...
    0100: 63 00 72 00 79 00 70 00   c.r.y.p.
    0108: 74 00 6f 00 67 00 72 00   t.o.g.r.
    0110: 61 00 70 00 68 00 69 00   a.p.h.i.
    0118: 63 00 65 00 78 00 63 00   c.e.x.c.
    0120: 65 00 70 00 74 00 69 00   e.p.t.i.
    0128: 6f 00 6e 00 2c 00 20 00   o.n.,. .
    0130: 32 00 31 00 62 00 63 00   2.1.b.c.
    0138: 2c 00 20 00 30 00 38 00   ,. .0.8.
    0140: 2e 00 30 00 31 00 2e 00   ..0.1...
    0148: 30 00 33 00 33 00 36 00   0.3.3.6.
    0150: 2e 00 30 00 30 00 30 00   ..0.0.0.
    0158: 2c 00 20 00 4e 00 49 00   ,. .N.I.
    0160: 4c 00 20 00 4e 00 49 00   L. .N.I.
    0168: 4c 00 0d 00 0a 00         L..... 

    19 января 2009 г. 15:16
  •  YRV написано:
    Самое, что интересное, если есть сертификат, то через mmc я могу импортироватьв папку сертификатов локального компьютера. Но это не помогает, так как мне не создать нормальный сертификат. Из mmc он позволяет только запросить сертификат типа Domain Controller. А мне необходимо WebServer. Это только через Web. А через Web я не могу сертификат импортировать в папку сертификатов локального компьютера.
    Я не могу понять почему он не дает мне создать само-подписанный сертификат и выводит в логах:

    Event Type:    Error
    Event Source:    MSExchange Common
    Event Category:    General
    Event ID:    4999
    Date:        1/19/2009
    Time:        5:09:28 PM
    User:        N/A
    Computer:    BRAIN
    Description:
    Watson report about to be sent to dw20.exe for process id: 2504, with parameters: E12, c-RTL-AMD64, 08.01.0240.006, powershell, M.E.Net, M.E.S.C.X.TlsCertificateInfo.CreateSelfSignCertificate, S.S.Cryptography.CryptographicException, 21bc, 08.01.0336.000.  ErrorReportingEnabled: True


    и


    Event Type:    Error
    Event Source:    Microsoft Exchange Server
    Event Category:    None
    Event ID:    5000
    Date:        1/19/2009
    Time:        5:09:35 PM
    User:        N/A
    Computer:    BRAIN
    Description:
    EventType e12, P1 c-rtl-amd64, P2 08.01.0240.006, P3 powershell, P4 m.e.net, P5 m.e.s.c.x.tlscertificateinfo.createselfsigncertificate, P6 s.s.cryptography.cryptographicexception, P7 21bc, P8 08.01.0336.000, P9 NIL, P10 NIL.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Data:
    0000: 65 00 31 00 32 00 2c 00   e.1.2.,.
    0008: 20 00 63 00 2d 00 72 00    .c.-.r.
    0010: 74 00 6c 00 2d 00 61 00   t.l.-.a.
    0018: 6d 00 64 00 36 00 34 00   m.d.6.4.
    0020: 2c 00 20 00 30 00 38 00   ,. .0.8.
    0028: 2e 00 30 00 31 00 2e 00   ..0.1...
    0030: 30 00 32 00 34 00 30 00   0.2.4.0.
    0038: 2e 00 30 00 30 00 36 00   ..0.0.6.
    0040: 2c 00 20 00 70 00 6f 00   ,. .p.o.
    0048: 77 00 65 00 72 00 73 00   w.e.r.s.
    0050: 68 00 65 00 6c 00 6c 00   h.e.l.l.
    0058: 2c 00 20 00 6d 00 2e 00   ,. .m...
    0060: 65 00 2e 00 6e 00 65 00   e...n.e.
    0068: 74 00 2c 00 20 00 6d 00   t.,. .m.
    0070: 2e 00 65 00 2e 00 73 00   ..e...s.
    0078: 2e 00 63 00 2e 00 78 00   ..c...x.
    0080: 2e 00 74 00 6c 00 73 00   ..t.l.s.
    0088: 63 00 65 00 72 00 74 00   c.e.r.t.
    0090: 69 00 66 00 69 00 63 00   i.f.i.c.
    0098: 61 00 74 00 65 00 69 00   a.t.e.i.
    00a0: 6e 00 66 00 6f 00 2e 00   n.f.o...
    00a8: 63 00 72 00 65 00 61 00   c.r.e.a.
    00b0: 74 00 65 00 73 00 65 00   t.e.s.e.
    00b8: 6c 00 66 00 73 00 69 00   l.f.s.i.
    00c0: 67 00 6e 00 63 00 65 00   g.n.c.e.
    00c8: 72 00 74 00 69 00 66 00   r.t.i.f.
    00d0: 69 00 63 00 61 00 74 00   i.c.a.t.
    00d8: 65 00 2c 00 20 00 73 00   e.,. .s.
    00e0: 2e 00 73 00 2e 00 63 00   ..s...c.
    00e8: 72 00 79 00 70 00 74 00   r.y.p.t.
    00f0: 6f 00 67 00 72 00 61 00   o.g.r.a.
    00f8: 70 00 68 00 79 00 2e 00   p.h.y...
    0100: 63 00 72 00 79 00 70 00   c.r.y.p.
    0108: 74 00 6f 00 67 00 72 00   t.o.g.r.
    0110: 61 00 70 00 68 00 69 00   a.p.h.i.
    0118: 63 00 65 00 78 00 63 00   c.e.x.c.
    0120: 65 00 70 00 74 00 69 00   e.p.t.i.
    0128: 6f 00 6e 00 2c 00 20 00   o.n.,. .
    0130: 32 00 31 00 62 00 63 00   2.1.b.c.
    0138: 2c 00 20 00 30 00 38 00   ,. .0.8.
    0140: 2e 00 30 00 31 00 2e 00   ..0.1...
    0148: 30 00 33 00 33 00 36 00   0.3.3.6.
    0150: 2e 00 30 00 30 00 30 00   ..0.0.0.
    0158: 2c 00 20 00 4e 00 49 00   ,. .N.I.
    0160: 4c 00 20 00 4e 00 49 00   L. .N.I.
    0168: 4c 00 0d 00 0a 00         L..... 



    Получается что в IIS не можете запросить сертификат ?

    Код ошибки на http://eventid.net смотрели ?
    19 января 2009 г. 15:19
  • Да нет, запросить я могу и даже установить могу и он даже создается, но сохранить могу только в папку сертификатов пользователя.

    А вот в папку локального компьютера(
    ) из IIS установить не удается. Пишет:

    An error occurred while creating the certificate request. Please verify that your CSP supports any settings you have made and that your input is valid.
    Suggested cause:
    You do not have write permission to save the file to the path
    Error: 0x00000046 - Permission Denied


    Пробовал достичь цели через создание запроса. Так не получается.
    Пишу: New-ExchangeCertificate -GenerateRequest -Path c:\request.req -SubjectName "c=RU, o=arkom, cn=brain" -DomainName brain, brain.arkom-org.com -PrivateKeyExportable $true

    А мне в ответ:
    New-ExchangeCertificate : Either you cannot overwrite the output file c:\request.req because it is set to read-only or you have insufficient permissions to cr
    eate this certificate request.
    At line:1 char:24
    + New-ExchangeCertificate  <<<< -GenerateRequest -Path c:\request.req -SubjectName "c=RU, o=company, cn=anyserver" -DomainName anyserver, anyserver.com -PrivateKeyExportable $true

    Начинаю потихоньку в панику впадать ))
    19 января 2009 г. 15:43
  • Коллеги, СПАСИБО БОЛЬШОЕ за помощь!!!

    Заработало!!!!!!!! Сертификаты создаются. Почта идет в обе стороны.

    Кстати, суперская вещь этот
    ProcessMonitor. С его помощью и нашел трабл. ExchangeShell не мог получить доступ к папкам и файликам C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto.

    Я конечно схалявил, тупо дал полный доступ Everybody к папке
    C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto и её внутренностям.
    Подскажите, плиз, какие правильные доступы к папкам на почтовом сервере:
    C:\Documents and Settings\All Users\Application Data\Microsoft
    C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto
    C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA
    C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

    В идеале, если это еще и Доменный каталог.


    Удачи.
    19 января 2009 г. 19:40