none
CA проблема с созданием сертификата. RRS feed

  • Вопрос

  • Всем Добрый день,

    Закончился срок сертификата в Exchange 2010, соответсвенно в консоли New Exchange Certificate - Создаю .reg файл - Захожу в браузере localhost/certsrv на CA под доменным Администратором - далее Requests a certificate - Submit a certificate request by using a base-64 и получаю ошибку:

    "No certificate templates could be found. You do not have permission to request a certificate from this CA, or an error occurred while accessing the Active Directory" и далее не дает конечно сделать Submit.

    Перелопатил весь инет, побывал кучу вариантов, ничего не помогает.

    Что можете вы посоветовать, как исправить данную проблемы и выпустить все таки сертификат новый?

    Спасибо.

    2 июля 2018 г. 11:21

Ответы

Все ответы

  • Может разрешений не хватать для вашей учетки. Посмотрите статью: https://blog.bissquit.com/mail-servers/exchange-server/lokalnyj-cs-zapros-sertifikata-exchange-2013/

    Глава Выпуск сертификата

     
    2 июля 2018 г. 12:14
  • Все верно, данное решение помогло.

    Странно, в списке были Доменные админы, использовал учетку, которая туда входит. Нужно было указать именно пользователя и дать права.

    К сожалению проблемы с сертификатами в Exchange 2010 я не могу решить, и признаюсь несколько запутался уже, прошу помощи.

    Проблема: Пользователи вне корпоративной сети, начали почта данные сообщения, соответственно почта перестала ходить.

    Сообщение о том, что сертификат просрочен и данная ошибка

    Что было сделано:

    1. Пока не мог сделать Pending в CA из за проблемы с правами указанными выше, сделал следующее.

    Certsrv-All tasks-Renew CA Certificate (он был просрочен так же)

    Далее он появился в консоли Exchange 2010.

    2. Далее как проблема с правами исчезла, мне удалось продлить самоподписанный уже как нужно через Exchange - Requests cert in CA - Complite in Exchange

    Пробывал назначить и тому и тому сервисы IIS, SMTP, устанавливал у клиента эти сертификаты в Trusted, но ошибка не исчезла. Ошибка со скрином выше так же осталась, а просьба принять сертификат новый, там указывался красный крестик на не совпадении имени.

    Сейчас все в таком состоянии:

    3. После заметил, что закончился срок действия еще оного сертификата, на котором были назначены сервисы POP, SMTP, IMAP (IIS кажется не было) - выше на скрине от третий.

    Я пытался его пересоздать раз 5, но всякий раз, когда дело доходит Complite pending requests - Указываю на его сертификат-Процесс проходит успешно и далее когда нажимаю готово, сертификат пропадает из списка (просто исчезает на глазах), почему?

    4. Сейчас к тому же самоназначенные сертификаты, которым я назначал сервисы, закраснелись в серый цвет и не хотят меняться:

    Что делать, как выпустить необходимый сертификат или заставить работать существующие, если они корректные и заставить почту на клиентах работать?

    Буду благодарен за скорейшие ответы! Спасибо.

  • Удалите все явно ненужные сертификаты, чтобы они вам не мешались.

    В ошибке у вас указано доменное имя, оно присутствует в сертификате?

    Если я правильно понимаю, почта у вас висит на mail2.seftecglobaltraining.com. Если сейчас попробовать зайти на этот сайт, то он выплюнет сертификат - это именно тот сертификат, который вы генерировали?

    Если да, то ваш сертификат должен включать несколько доменных имен. В базовом варианте это пара штук, но обычно их бывает сильно больше.

    В интернете есть масса примеров как сгенерировать сертификат на 2010 эксче. К сожалению, у меня под рукой нет этой версии эксча, так что я могу кинуть только ссылки:

    https://practical365.com/exchange-server/configure-an-ssl-certificate-for-exchange-server-2010/

    https://www.digicert.com/csr-creation-microsoft-exchange-2010.htm

    p.s. По-хорошему, это уже совсем другая проблема из другой ветки вопросов. Изначально вы спрашиваете о получении сертификата через виндовый центр сертификации (насколько я понял, эта проблема у вас уже решена), а потом перескакиваете на 2010 эксч.

  • Егор,

    Еще раз создал новый сертификат, указал ДНС имена, только при создании с СА указал теперь шаблон Веб сервер, назначил службы, у удаленных пользователей вне локальной сети Аутлук заработал без ошибок.

    Но, существует и иная проблема (возможно это уже для другой ветки, если да то где ее создать?), не возможно (раньше тоже существовала данная проблем) настроить клиента (ни в Аутлук, ни на мобильном телефоне к примеру) вне организации изначально, т.е. необходимо подключиться к локальной сети, там настроить профиль, после этот клиент может работать вне сети (после настройки внутри организации).

    По autodiscover по ящику Аутлук находит, принимает сертификат, спрашивает логин пароль, после ввода, просьба о вводе пароля продолжается бесконечно.

    Не подскажите где тут рыть?

  • Рыть в сторону настройки autodiscover. Он используется не только для внутренних подключений, но и для внешних.

    Вернее для внутренних подключений предпочтительнее используется scp, которую доменные клиенты получают от кд.

    p.s. по поводу веток - создавайте вветке Exchange 2010, это же очевидно))) найти её можно в Объединенных коммуникациях
  • Поскольку решение первоначальной проблемы было найдено, предлагаю закрыть вопрос и переехать для обсуждения последующих задач в другие топики (если ТС их создаст).
    3 июля 2018 г. 11:31
  • Хорошо. Спасибо вам за помощь, можете закрывать.

    Открою в другой ветке по необходимости.