none
Срок действия сертификата STARTTLS скоро истекает ... RRS feed

  • Вопрос

  • Опять периодически выскакивает ошибка:

    Срок действия сертификата STARTTLS скоро истекает: субъект: MAIL.-------.local, отпечаток: 29C253783FDE55C5F498C1227A5EF6E30E4EC148, осталось часов: 63. Чтобы создать новый сертификат, запустите командлет New-ExchangeCertificate.

    Новый сертификат уже стоит до 7 октября 2016 MAIL.-------.ru, но старый не удалял (до 2 ноября 2015) - боюсь, вдруг опять чего выкинет :) Может быть из-за этого ругается ?


    =STAS=

    • Изменено -STAS- 30 октября 2015 г. 12:18
    30 октября 2015 г. 12:17

Ответы

  • Если привязан, отвяжите через Enable-ExchangeCertificate -Thumbprint 29C253783FDE55C5F498C1227A5EF6E30E4EC148 -Services None

    Так не прокатывает. Я тут нашёл вот что (на сайте MS)

    "Командлет Enable-ExchangeCertificate является добавочным. При указании подмножества служб, для которых включается сертификат, неуказанные службы не удаляются из свойства Services. Если нет необходимости использовать существующий включенный сертификат для служб Exchange, необходимо включить другой сертификат, а затем удалить тот сертификат, который не требуется использовать. "

    При этом у меня, как я понимаю, на SMTP сейчас сидит сертификат mail.------.ru, а ругается, что истёк срок для mail.------.local. Я же не могу назначить на SMTP .local и удалить .ru, как написано в инструкции MS ?

    А вот как работает автовыбор сертификата:

    Выбор входящего сертификата STARTTLS

    Исходя из этой схемы, видно, что сертификат ищется именно по FQDN, то есть по реальному имени сервера mail.------.local. То есть получается, как ни крути - ничего не выходит ...

    Ещё нашёл, что можно как-то назначать разные сертификаты разным коннекторам. Но как и какие каким - тоже непонятно. Ну лично мне, конечно.

    Вопрос пока остаётся открытым ... Слава богу, сервер вроде работает, только ошибки в логах складываются ... Да и с BYOD-ами пока ещё не разбирался.


    =STAS=

    3 ноября 2015 г. 18:31
  • В итоге после долгих поисков по просторам инета, технета и МС-а нашёл решение:

    1. Как вы и сказали, сначала просто назначаем новый сертификат через ECP или через Enable-ExchangeCertificate -Thumbprint ... -Services ...  необходимым службам (ключик -Services None не работает, как выяснилось).

    2. Через ECP или через Remove-ExchangeCertificate удаляем старый сертификат (тут самое главное: при удалении сертификата в IIS - в привязках Exchange Back End сайта слетает назначение сертификата SSL с уже удалённого "mail......local" на "Не выбрано")

    3. В IIS выбираем вместо "Не выбрано" - SSL сертификат "mail......ru":

    Перезагружаемся и всё работает !

    Большое человеческое спасибо всем кто участвовал в обсуждении !!! :)


    =STAS=

    3 ноября 2015 г. 22:26

Все ответы

  • Да, из-за этого и ругается :).

    Если старый сертификат не привязан к службам, просто удалите его через Remove-ExchangeCertificate.

    Если привязан, отвяжите через Enable-ExchangeCertificate -Thumbprint 29C253783FDE55C5F498C1227A5EF6E30E4EC148 -Services None


    Do not multiply entities beyond what is necessary

    • Предложено в качестве ответа ILYA [ sie ] SazonovModerator 30 октября 2015 г. 13:28
    • Отменено предложение в качестве ответа -STAS- 3 ноября 2015 г. 11:10
    30 октября 2015 г. 12:24
  • 30 октября 2015 г. 13:29
    Модератор
  • В принципе, галочки стоят на SMTP, POP, IMAP, IIS - серенькие. Не знаю, почему. Вроде продлевал этот сертификат и новому, продлённому, назначал работать на этих же службах. Но старый сертификат почему-то остался и ещё галочки эти стоят - не убрать даже. Думал, он перезапишется новым ...

    =STAS=

    30 октября 2015 г. 14:50
  • С сегодняшнего дня начал ругаться:

    Отсутствует допустимый сертификат SMTP TLS для полного доменного имени MAIL.------.local. Существующий сертификат для этого полного доменного имени устарел. Продолжение использования этого полного доменного имени может привести к проблемам с потоком почты. Необходимо как можно скорее установить на сервере новый сертификат, содержащий полное доменное имя MAIL.------.local. Чтобы создать сертификат, можно использовать задачу New-ExchangeCertificate.

    Новый сертификат установлен для MAIL.------.ru, назначен службам и нормально работает. Но в нём уже нету MAIL.------.local, а старый, в котором было и .ru и .local - сегодня закончился. Именно на него идёт ругань. Что делать ?


    =STAS=

    2 ноября 2015 г. 8:01
  • У вас только коммерческий сертификат привязан к службам Exchange? Есть же еще сертификат, который устанавливался по умолчанию при развертывании. Он самоподписной и привязывается к SMTP для каждого сервера Exchange. Называется просто "Microsoft Exchange". Вы его случайно не удаляли?

    Do not multiply entities beyond what is necessary

    2 ноября 2015 г. 8:18
  • Действующий коммерческий назначен только для .ru, старый, тоже коммерческий, был назначен на .ru и .local. Оба были привязаны к SMTP, POP, IMAP, IIS. Да, есть ещё самозаверенный, который был сначала только для .local


    =STAS=

    2 ноября 2015 г. 8:37
  • Вот его и перепривяжите к SMTP.

    А вообще лучше всегда использовать публикующий сервер. По крайней мере и в плане безопасности и в плане пространства имен и сертификатов гораздо надежнее.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 2 ноября 2015 г. 9:01
    2 ноября 2015 г. 8:59
  • А старый, коммерческий, который был назначен и на .ru и на .local ? Его просто удалить или сначала отвязать, а потом удалить ?

    =STAS=

    2 ноября 2015 г. 9:02
  • отвязать и удалить.

    Do not multiply entities beyond what is necessary

    2 ноября 2015 г. 9:17
  • ... старый отвязал и удалил, перезагрузил сервер ... после этого EMS отказывается соединяться к mail.------.local. В ECP - белый экран :(

    Пишет вот что:

    ... в итоге пока откатил состояние системы обратно ...


    =STAS=

    • Изменено -STAS- 2 ноября 2015 г. 23:41
    2 ноября 2015 г. 23:40
  • что у вас показывает Get-ECPVirtualDirectory

    Do not multiply entities beyond what is necessary

    3 ноября 2015 г. 6:08
  • пардон, добавьте | FL

    интересует InternalURL


    Do not multiply entities beyond what is necessary

    3 ноября 2015 г. 9:04
  • Да вроде бы нормально все с именами. Соответствуют тем, что в сертификате. а к mail.domain.local/ecp конечно будет с ошибкой подключаться. У вас же в сертификате  теперь нет локального домена.

    Вот насчет EMS непонятно пока.

    А про ECP: попробуйте подключиться https://mail.domain.ru/ecp и убедитесь, что цепочка серитфикатов правильная. Возможно не хватает какого-то промежуточного сертификата.


    Do not multiply entities beyond what is necessary



    • Изменено Dmitry.I 3 ноября 2015 г. 9:51
    3 ноября 2015 г. 9:50
  • Цепочка вроде правильная ... дата до осени 2016 года ...

    ... а вот в ярлыке к EMS написано так:

    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noexit -command ". 'D:\Exchange\V15\bin\RemoteExchange.ps1'; Connect-ExchangeServer -auto -ClientApplication:ManagementShell "

    ... может, там что-то надо подправить также ? а то что ж, мне получается этот старый сертификат так и не удалить будет ... он же ругается постоянно ...

    Да, что ещё интересно - после команды Enable-ExchangeCertificate -Thumbprint 29C253783FDE55C5F498C1227A5EF6E30E4EC148 -Services None и перезагрузки все галочки в ECP остаются. То есть, по ходу, сертификат не отвязывается от служб (если я всё правильно понимаю) ...


    =STAS=

    • Изменено -STAS- 3 ноября 2015 г. 11:13
    3 ноября 2015 г. 9:58
  • Если привязан, отвяжите через Enable-ExchangeCertificate -Thumbprint 29C253783FDE55C5F498C1227A5EF6E30E4EC148 -Services None

    Так не прокатывает. Я тут нашёл вот что (на сайте MS)

    "Командлет Enable-ExchangeCertificate является добавочным. При указании подмножества служб, для которых включается сертификат, неуказанные службы не удаляются из свойства Services. Если нет необходимости использовать существующий включенный сертификат для служб Exchange, необходимо включить другой сертификат, а затем удалить тот сертификат, который не требуется использовать. "

    При этом у меня, как я понимаю, на SMTP сейчас сидит сертификат mail.------.ru, а ругается, что истёк срок для mail.------.local. Я же не могу назначить на SMTP .local и удалить .ru, как написано в инструкции MS ?

    А вот как работает автовыбор сертификата:

    Выбор входящего сертификата STARTTLS

    Исходя из этой схемы, видно, что сертификат ищется именно по FQDN, то есть по реальному имени сервера mail.------.local. То есть получается, как ни крути - ничего не выходит ...

    Ещё нашёл, что можно как-то назначать разные сертификаты разным коннекторам. Но как и какие каким - тоже непонятно. Ну лично мне, конечно.

    Вопрос пока остаётся открытым ... Слава богу, сервер вроде работает, только ошибки в логах складываются ... Да и с BYOD-ами пока ещё не разбирался.


    =STAS=

    3 ноября 2015 г. 18:31
  • В итоге после долгих поисков по просторам инета, технета и МС-а нашёл решение:

    1. Как вы и сказали, сначала просто назначаем новый сертификат через ECP или через Enable-ExchangeCertificate -Thumbprint ... -Services ...  необходимым службам (ключик -Services None не работает, как выяснилось).

    2. Через ECP или через Remove-ExchangeCertificate удаляем старый сертификат (тут самое главное: при удалении сертификата в IIS - в привязках Exchange Back End сайта слетает назначение сертификата SSL с уже удалённого "mail......local" на "Не выбрано")

    3. В IIS выбираем вместо "Не выбрано" - SSL сертификат "mail......ru":

    Перезагружаемся и всё работает !

    Большое человеческое спасибо всем кто участвовал в обсуждении !!! :)


    =STAS=

    3 ноября 2015 г. 22:26