none
Ошибка сертификата Outlook RRS feed

  • Вопрос

  • Доброго времени суток всем!

    Возникла проблема: встала необходимость развернуть центр сертификации внутри организации. Внутренний CA был развёрнут и корневой сертификат был раскидан на все ПК домена. Теперь, при открытии почты возникает ошибка этого корневого сертификата которая гласит, что Имя сертификата безопасности недопустимо или не соответсвует имени сайта

    при просмотре сертификата видно:

    Кому выдан: domain1.ru

    Кем выдан: domain1.ru

    Насколько я понимаю в строке кому выдан должен быть указан домен организации в этом то и вся проблема. 

    А теперь собственно вопрос: каким образом можно отозвать корневой сертификат? Либо как-то ещё решить данную проблему.

    добавление в контейнер личных и доверенных корневых сертификатов не помогает. Данная проблема встречается часто, но решение на просторах интернета для себя я так и не нашёл.

    PS почтовый сервер MS Exchange 2010.

    28 февраля 2020 г. 9:55

Ответы

  • Николай, есть подозрение, что поднятием СА и развёртыванием GPO на сервера вы ненароком заменили сертификат на Exch, который привязан к почтовым службам. Кстати, возможно что ваши коллеги к этому приложили руку тоже.

    Вам нужно выяснить какой именно сейчас сертификат и для каких служб используется (исходя из контекста у вас сейчас используется выданный внутренним СА сертификат вместо wildcard).

    Используйте эту статью, чтобы правильно назначить старый сертификат. После этого потребуется передёрнуть IIS.

    2 марта 2020 г. 6:43

Все ответы

  • Николай, вы не раскрыли главной темы - какой сертификат у вас использовался на Exchange до развёртывания CA? И меняли ли вы его после внедрения CA?
    28 февраля 2020 г. 10:03
  • Николай, вы не раскрыли главной темы - какой сертификат у вас использовался на Exchange до развёртывания CA? И меняли ли вы его после внедрения CA?

    Сертификат не менял. На Exchange используется Wild Card сертификат.

    Необходимо добавить сертификат выданный локальным CA в EMC? Если так, то надо ли привязывать к нему службы?

    • Изменено Nikolay A 28 февраля 2020 г. 15:44
    28 февраля 2020 г. 15:43
  • Доброго времени суток всем!

    Возникла проблема: встала необходимость развернуть центр сертификации внутри организации. Внутренний CA был развёрнут и корневой сертификат был раскидан на все ПК домена. Теперь, при открытии почты возникает ошибка этого корневого сертификата которая гласит, что Имя сертификата безопасности недопустимо или не соответсвует имени сайта

    при просмотре сертификата видно:

    Кому выдан: domain1.ru

    Кем выдан: domain1.ru

    Насколько я понимаю в строке кому выдан должен быть указан домен организации в этом то и вся проблема. 

    А теперь собственно вопрос: каким образом можно отозвать корневой сертификат? Либо как-то ещё решить данную проблему.

    добавление в контейнер личных и доверенных корневых сертификатов не помогает. Данная проблема встречается часто, но решение на просторах интернета для себя я так и не нашёл.

    PS почтовый сервер MS Exchange 2010.

    Начать, наверное, надо с того, чтобы понять, откуда у вас этот сертификат. Судя по тому, что вы сообщили, это - самоподписанный сертификат. Дальше надо понять, что это за сертификат - сертификат CA (тогда какого хрена он делает на сервере Exchange - вы там CA, что ли,  подняли?) или это - самоподписанный сертификат, сгенеренный сервером Exchange (тогда его просто надо заменить на IIS на ваш WildCard - в принципе, его можно заменить напрямую в консоли управления IIS, или же - командой Enable-ExchangeCertificate в EMC).

    Сертификат, выданный локальным CA, на Exchange использовать не нужно - раз у вас есть сертификат от коммерческого CA (который Wild Card).


    Слава России!



    • Изменено M.V.V. _ 28 февраля 2020 г. 16:36
    28 февраля 2020 г. 16:34
  • Начать, наверное, надо с того, чтобы понять, откуда у вас этот сертификат. Судя по тому, что вы сообщили, это - самоподписанный сертификат. Дальше надо понять, что это за сертификат - сертификат CA (тогда какого хрена он делает на сервере Exchange - вы там CA, что ли,  подняли?) или это - самоподписанный сертификат, сгенеренный сервером Exchange (тогда его просто надо заменить на IIS на ваш WildCard - в принципе, его можно заменить напрямую в консоли управления IIS, или же - командой Enable-ExchangeCertificate в EMC).

    Сертификат, выданный локальным CA, на Exchange использовать не нужно - раз у вас есть сертификат от коммерческого CA (который Wild Card).


    Слава России!



    СА был развёрнут не на почтовом сервере. Цель поднятия локального центра сертификации - дать возможность подписи документов в 1с (разворачивал в соответтвии с этой статьей http://blog.pdmonline.ru/?p=366) . Был создан шаблон выдачи сертификатов. Но политика была применена на все ПК и сервера. После этого стала возникать ошибка сертификата

    К сожалению не могу приложить скриншот, так как учётная запись до сих пор не проверена



    • Изменено Nikolay A 28 февраля 2020 г. 18:16
    28 февраля 2020 г. 17:55
  • Оставьте пока в покое CA. Посмотрите, что за сертификат, на который Outlook ругается (там в окне с ошибкой должна быть ссылка на посмотреть).

    Слава России!

    28 февраля 2020 г. 20:02
  • Оставьте пока в покое CA. Посмотрите, что за сертификат, на который Outlook ругается (там в окне с ошибкой должна быть ссылка на посмотреть).

    Слава России!

    как я и писал вышел при просмотре сертификата пишется

    Кому выдан: domain1.ru

    Кем выдан: domain1.ru

    имя шаблона сертификата CA

    domain1.ru является контролером домена с поднятым на нём центром сертификации (в данный момент пока  СА отключил). Вот и непонятно откуда клиенты Outlook берут этот сертификат. Я так понимаю это корневой сертификат.

    29 февраля 2020 г. 17:29
  • То есть, на Exchange этого сертификата вместе с закрытым ключом в хранилище Personal для учетной записи компьютера у вас быть не должно? Проверьте этот факт, а заодно посмотрите, какой сертификат у вас настроен в IIS на Exchange (в консоли управления IIS).

    То есть, выходит, что у вас Outlook обращается к КД (где на IIS поднят веб-интерфейс CA, кстати его сертификат тоже проверьте). В таком случае вам имеет смысл проверить настройки всех виртуальных каталогов Exchange на предмет, какое имя хоста используется во всех его внутренних URL, имя хоста Autodiscover (командой Get-ClientAccessServer в EMS, имя хоста в URL в поле AutodiscoverServiceInternalUri), а если доступ внутри сети  вы переключали на Outlook Anywhere - имя хоста для Outlook Anywhere. После этого найдите (командой nslookup), какое из этих имен разрешается в IP адрес КД, и исправьте это имя на правильное, указывающее на почтовый сервер.

    PS При просмотре сертификата можно получить (на вкладке Состав/Details) значительно больше информации, нежели для какого имени и кем он выдан. В частности, для сопоставления сертификатов (тот или другой) стоит найти там и использовать его отпечаток (thumbprint) - он принципиально уникален для каждого сертификата.


    Слава России!

    29 февраля 2020 г. 19:17
  • Николай, есть подозрение, что поднятием СА и развёртыванием GPO на сервера вы ненароком заменили сертификат на Exch, который привязан к почтовым службам. Кстати, возможно что ваши коллеги к этому приложили руку тоже.

    Вам нужно выяснить какой именно сейчас сертификат и для каких служб используется (исходя из контекста у вас сейчас используется выданный внутренним СА сертификат вместо wildcard).

    Используйте эту статью, чтобы правильно назначить старый сертификат. После этого потребуется передёрнуть IIS.

    2 марта 2020 г. 6:43