none
не удается включить публичный сертификат RRS feed

  • Вопрос

  • 2007 sp3

    New-ExchangeCertificate -GenerateRequest -Path c:\req.csr -KeySize 2048 -SubjectName "c=RU, s=Moscow district, l=moscow, o=LTD xxx, ou=MC, cn=mail.xxx.ru" -DomainName mail.xxx.ru,autodiscover.xxx.ru, owa.xxx.ru -PrivateKeyExportable $True

    прислали сертификат.

    удачно импортировался  Import-ExchangeCertificate -Path "C:\mail.ххх.ru.crt"

     

     но включаться не хочет. Enable-ExchangeCertificate 01E0189610384AA0C1B3E05E0EC507DAFC7D2CAA –Services “IIS, SMTP, POP, IMAP”

    [PS] C:\Windows\system32>Enable-ExchangeCertificate 01E0189610384AA0C1B3E05E0EC5
    07DAFC7D2CAA -Services "IIS, SMTP, POP, IMAP"
    Enable-ExchangeCertificate : Сертификат с отпечатком 01E0189610384AA0C1B3E05E0E
    C507DAFC7D2CAA не найден.
    строка:1 знак:27
    + Enable-ExchangeCertificate <<<<  01E0189610384AA0C1B3E05E0EC507DAFC7D2CAA -Se
    rvices "IIS, SMTP, POP, IMAP"
        + CategoryInfo          : ObjectNotFound: (01E0189610384AA0C1B3E05E0EC507D
       AFC7D2CAA:String) [Enable-ExchangeCertificate], CertificateNotFoundExcepti
      on
        + FullyQualifiedErrorId : 2E9042C6,Microsoft.Exchange.Management.SystemCon
       figurationTasks.EnableExchangeCertificate

    Подскажите, в чем проблема?

    и мне не понятно, почему до этого тот же самый сертификат на 1 год(платный) был не самоподписной, а сейчас новый самоподписным стал?

     

     

    [PS] C:\>Get-ExchangeCertificate

    Thumbprint                                Services   Subject
    ----------                                --------   -------
    01E0189610384AA0C1B3E05E0EC507DAFC7D2CAA  .....      C=RU, S=Moscow district...
    AC1541E65093C9ED0ADFA0A13AF6B2DCC3677E73  IP.WS      CN=mail.ххх.ru...
    90C925B1C2F7F75E9FCC50DD536F641359A9C3B1  IP..S      CN=mail
    88AFBD8BD60C3208D97CA0522310DC4F5DE970B2  .....      CN=WMSvc-MAIL

    ---------------------

     

     

    [PS] C:\>Get-ExchangeCertificate |fl

     

     

     

     

     

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System

     

                         .Security.AccessControl.CryptoKeyAccessRule}

     

    CertificateDomains : {mail.xxx.ru, autodiscover.xxx.ru, owa. xxx.ru }

     

    HasPrivateKey      : True

     

    IsSelfSigned       : True

     

    Issuer             : C=RU, S=Moscow district, L=Malakhovka, O=Sweets factory Vo

     

                         lshebnitsa Ltd, OU=MC, CN=mail.xxx.ru

     

    NotAfter           : 22.07.2012 10:51:48

     

    NotBefore          : 22.07.2011 10:31:48

     

    PublicKeySize      : 2048

     

    RootCAType         : None

     

    SerialNumber       : 0499BF110C6F92AC46996DAA5DF1710C

     

    Services           : None

     

    Status             : Valid

     

    Subject            : C=RU, S=Moscow district, L=Moscow, O=xxx Ltd, OU=MC, CN=mail.xxx.ru

     

    Thumbprint         : 01E0189610384AA0C1B3E05E0EC507DAFC7D2CAA

     

     

     

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System

     

                         .Security.AccessControl.CryptoKeyAccessRule, System.Securi

     

                         ty.AccessControl.CryptoKeyAccessRule}

     

    CertificateDomains : {mail.xxx.ru, autodiscover.xxx.ru, mail.

     

                         xxx}

     

    HasPrivateKey      : True

     

    IsSelfSigned       : False

     

    Issuer             : CN=USERTrust Legacy Secure Server CA, O=The USERTRUST Netw

     

                         ork, L=Salt Lake City, S=UT, C=US

     

    NotAfter           : 23.07.2011 3:59:59

     

    NotBefore          : 22.07.2010 4:00:00

     

    PublicKeySize      : 2048

     

    RootCAType         : ThirdParty

     

    SerialNumber       : 00B8DDA2436B7F763371D51909B5D22EE8

     

    Services           : IMAP, POP, IIS, SMTP

     

    Status             : DateInvalid

     

    Subject            : CN=mail.xxx.ru, OU=Comodo Unified Communications,

     

                          OU=Hosted by Rusonyx Ltd, OU=IT, O=OOO Konditerskaya fabr

     

                         ika Xxx, STREET="Malakhovka, Garazhnaya street 4"

     

                         , STREET=Liubertsy Area, L=Moscow, S=Moscow, PostalCode=14

     

                         0032, C=RU

     

    Thumbprint         : AC1541E65093C9ED0ADFA0A13AF6B2DCC3677E73

     

     

     

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System

     

                         .Security.AccessControl.CryptoKeyAccessRule, System.Securi

     

                         ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce

     

                         ssControl.CryptoKeyAccessRule}

     

    CertificateDomains : {mail, mail.xxx.ru}

     

    HasPrivateKey      : True

     

    IsSelfSigned       : True

     

    Issuer             : CN=mail

     

    NotAfter           : 05.07.2015 9:58:29

     

    NotBefore          : 05.07.2010 9:58:29

     

    PublicKeySize      : 2048

     

    RootCAType         : Unknown

     

    SerialNumber       : 275BF1658AF34B914598BC8B20F98ABE

     

    Services           : IMAP, POP, SMTP

     

    Status             : Valid

     

    Subject            : CN=mail

     

    Thumbprint         : 90C925B1C2F7F75E9FCC50DD536F641359A9C3B1

     

     

     

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System

     

                         .Security.AccessControl.CryptoKeyAccessRule, System.Securi

     

                         ty.AccessControl.CryptoKeyAccessRule}

     

    CertificateDomains : {WMSvc-MAIL}

     

    HasPrivateKey      : True

     

    IsSelfSigned       : True

     

    Issuer             : CN=WMSvc-MAIL

     

    NotAfter           : 28.06.2020 18:03:56

     

    NotBefore          : 01.07.2010 18:03:56

     

    PublicKeySize      : 2048

     

    RootCAType         : Registry

     

    SerialNumber       : 3E6EED51BA8BC69C43D6DE953266885F

     

    Services           : None

     

    Status             : Valid

     

    Subject            : CN=WMSvc-MAIL

     

    Thumbprint         : 88AFBD8BD60C3208D97CA0522310DC4F5DE970B2

     

     

     

     

     

     

     

    [PS] C:\>

     

     

     

     

     

     

     


    • Перемещено Hengzhe Li 12 марта 2012 г. 5:12 forum merge (От:Exchange Server 2007)
    23 июля 2011 г. 6:54

Ответы

  • он выдается с закрытым ключом, только этот ключ может быть только на том сервере где генерился запрос, а из УЦ тебе присылают сертификат без него, что логично.

    посмотри в mmc (local computer) какие у тебя сертификаты и где, и еще обрати внимание на раздел certificate enrollment requests туда попадают запросы

    • Помечено в качестве ответа Mikhail Tsygankov 25 июля 2011 г. 12:28
    25 июля 2011 г. 9:45
  • Удалять запросы и сертифкаты нужно только после того, как:

    1) Пришлют новый серфтикат

    2) Новый сертифкат будет работать корректно

    3) Будет сделана резервная копия локального хранилища сертификатов


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    • Помечено в качестве ответа Mikhail Tsygankov 25 июля 2011 г. 12:28
    25 июля 2011 г. 10:08

Все ответы

  • Сертифкат нужно устанавливать на том сервере, на котором делали запрос.

    При установке сертифката на нужном сервере в сво-ах сертифката должна быть надпись "есть закрытый ключ".

    Если закрытого ключа к сертификату не будет, настроить его не получится.


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    25 июля 2011 г. 6:18
  • устанавливаю на том же сервере. он у меня один.

    закрытого ключа нет ни в новом сертификате, ни в старом, благополучно отработавшим.

     

    Почему он пишет, что он самоподписной?

    я же его генерирую и посылаю в платную контору, где есть свой центр сертификации.

    причем, вот, что меня смутило:

    в новом серт:

    Issuer             : C=RU, S=Moscow district, L=Malakhovka, O=Sweets factory Vo

     

                         lshebnitsa Ltd, OU=MC, CN=mail.xxx.ru

    в старом(как и должно быть):

    Issuer             : CN=USERTrust Legacy Secure Server CA, O=The USERTRUST Netw

     

                         ork, L=Salt Lake City, S=UT, C=US

     


    25 июля 2011 г. 6:43
  • Вопросы:

    1) Как устанавливался сертификат? Через оснастку mmc "сертифкаты" и для ПК?

    2) Как был получен отпечаток сертифката?

    3) Точно тот сертификат смотрите? Путь у него до внешнего центра сертифкации присутствует?

     

     


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    25 июля 2011 г. 7:13
  • 1) - это публичный сертификат, его же устанавливать на клиенты не нужно. он для этого и покупается.

    устанавливался он командой Import-ExchangeCertificate -Path "C:\mail.ххх.ru.crt"

    2) отпечаток меняется в консоли exchange при импортировании сертификата.(в инфе в 1-ом сообщении все данные есть)

    3) путь присутствует. старый сертификат был таким же, пути там такие же. (центр промеж. и корневой есть ENTrust)

     

     

     

     

    25 июля 2011 г. 8:18
  • 1) Всё верно. Но для того, чтобы сертификат работал на вэб сервере и Exchange сертификат "видел" полученный сертифкат нужно установить для учётной записи компьютера.

     

    Если вы удаляли запрос на сертификат то закрытый ключ уже не восстановите и сертификат работать не будет.

    Скрин установленого сертифката можете показать?


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    25 июля 2011 г. 8:26
  • нет, запрос я не удалял. (или Вы имеете ввиду сам файл полученного запроса?)

    при импорте сертификата, запрос автоматически переходит в сертификат.

    посмотрел в консоли, нет закрытого ключа почему-то для нового сертификата, хотя сам он там присутствует.

     

    скрин сертификата (свойства) или |FL из консоли?


    25 июля 2011 г. 8:32
  • Скрин свойств серфтиката.

    В IIS пробовали сертифкат для узла по умолчанию назначать? (через привязки (Bindings))


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    25 июля 2011 г. 8:41
  • http://zalil.ru/31464067

    zip архив со скринами.

     

    в том году на этот и на другие сервера все импортировалось без проблем.

    только импорт и включение.

     

    я не могу понять, почему он не находит сертификат, когда я делаю enable

    25 июля 2011 г. 8:50
  • издатель сертификата говорит о том, что параметр издатель верный:

    но почему-то он у меня в консоли указан как : C=RU, S=Moscow district, L=Malakhovka, O=Sweets factory Vo

     

    Подскажите, можно ли импортировать готовый сертификат или обязательно должен быть запрос на него?

    что мне сейчас делать? запросить новый?

    почему он выдается без закрытого ключа

    25 июля 2011 г. 8:58
  • Для начала нужно попробовать испортировать сертификат в IIS и уже исходя из результатов импорта будем разбираться дальше.
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    25 июля 2011 г. 9:38
  • не импортируется. этот файл не содержит закрытого ключа.
    25 июля 2011 г. 9:42
  • он выдается с закрытым ключом, только этот ключ может быть только на том сервере где генерился запрос, а из УЦ тебе присылают сертификат без него, что логично.

    посмотри в mmc (local computer) какие у тебя сертификаты и где, и еще обрати внимание на раздел certificate enrollment requests туда попадают запросы

    • Помечено в качестве ответа Mikhail Tsygankov 25 июля 2011 г. 12:28
    25 июля 2011 г. 9:45
  • Запрос New-ExchangeCertificate -GenerateRequest -Path c:\req.csr -KeySize 2048 -SubjectName "c=RU, s=Moscow district, l=moscow, o=LTD xxx, ou=MC, cn=mail.xxx.ru" -DomainName mail.xxx.ru,autodiscover.xxx.ru, owa.xxx.ru -PrivateKeyExportable $True точно этом сервере выполнялся?

    Сделайте новый запрос и запросите сертификат заново.


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    25 июля 2011 г. 9:46
  • точно на этом. почта у меня одна.. в запросах 2 сертификата. старый(который не получается включить)

    и новый, который я позже создал (оба с ключиками)

     

    25 июля 2011 г. 9:48
  • точно на этом. почта у меня одна.. в запросах 2 сертификата. старый(который не получается включить)

    и новый, который я позже создал (оба с ключиками)

     


    Запрос один раз выполнялся или несколько?

    Возможно запрос был один раз сохранён в файл а затем выполнен повторно.


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    25 июля 2011 г. 9:51
  • вообще 2 раза.

    1 раз попросили поменять данные.

    я стел файл запроса, стер сертификат из консоли и запросил заного. возможно наслоился старый запрос на новый серт?

     

    в любом случае, я сейчас запросил еще 1 серт на новом запросе.



    старый запрос и сертификат удалить?
    25 июля 2011 г. 10:00
  • Удалять запросы и сертифкаты нужно только после того, как:

    1) Пришлют новый серфтикат

    2) Новый сертифкат будет работать корректно

    3) Будет сделана резервная копия локального хранилища сертификатов


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    • Помечено в качестве ответа Mikhail Tsygankov 25 июля 2011 г. 12:28
    25 июля 2011 г. 10:08
  • новый сертификат установился обычный способом на ура без "танцев"
    25 июля 2011 г. 12:08
  • Чудес не бывает, значит по ошибке запрос был выполнен дважды.


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    25 июля 2011 г. 12:09
  • так объясните мне, пожалуйста.

    1) я сделал запрос.

    2) мне сказали его исправить.

    3) я удалил командой remove-exch-cert тот запрос, который был. (поскольку он уже изначально был неправильный)

    4) я создал новый запрос (но возможно с тем же именем файла)

     

    где мой косяк?

    25 июля 2011 г. 12:11
  • На пункте 4.

    Возможно вы выполнили корректный запрос, отправили тело запроса в ЦС, выполнили команду запроса повторно.


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    • Предложено в качестве ответа cognize_ 25 июля 2011 г. 12:14
    25 июля 2011 г. 12:14
  • кстати, после запроса сертификата, надо ли хранить в том же месте сам файл запроса или нет?

    при импорте учитывается ли он где-то?

     

    25 июля 2011 г. 12:22
  • При импорте эта информация не учитывается.

     

    Дмитрий выше уже описал где хранится запрос

     

    "посмотри в mmc (local computer) какие у тебя сертификаты и где, и еще обрати внимание на раздел certificate enrollment requests туда попадают запросы"


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    25 июля 2011 г. 12:24
  • спс.

    там все ок.

    последний вопрос. как сделать полный экспорт сертификатов в остнаске сертификаты?

    25 июля 2011 г. 12:26
  • Выделить необходимые сертификаты и нажать export


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    25 июля 2011 г. 12:28