none
Сертификат на EDGE и ошибка ID 12014 RRS feed

  • Общие обсуждения

  • Добрый день!
    Объясните, как правильно поступить с сертификатом, который делается на Exchange сервер, относительно к серверу EDGE
    Сертификат создавал по этой статье http://www.alexxhost.ru/2010/07/exchange-2010_20.html
    Дело в том, что созданный сертификат с доменными именами на сервере Exchange содержит все доменные имена. И даже этот сертификат импортирован в личные сертификаты на EDGE, но все равно идет ошибка ID 12014
    «Microsoft Exchange не удается найти сертификат, содержащий имя домена mail.firma.ru, в хранилище личных сертификатов на локальном компьютере. Поэтому он не поддерживает команду STARTTLS SMTP для соединителя Внутренные_почтовые_серверы с полным доменным именем mail.firma.ru. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленных сертификатов, чтобы убедиться, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните команду Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.»

    Вот что дает

    get-exchangecertificate | fl

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {CSTMG, CSTMG.office.firma.local}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=CSTMG
    NotAfter           : 10.02.2017 3:02:43
    NotBefore          : 10.02.2012 3:02:43
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 5E240487E0013BA247093AC6745CC052
    Services           : SMTP
    Status             : Valid
    Subject            : CN=CSTMG
    Thumbprint         : E58837EBCE2065B496147EFAD0562E62C6A891BC

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {mail.firma.ru, csex.office.firma.local, mail2.firma.ru, office.firma.local, autodiscover.office.firma.local, autodiscover.firma.ru}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=office-CSFS-CA, DC=office, DC=firma, DC=local
    NotAfter           : 09.02.2014 0:39:18
    NotBefore          : 10.02.2012 0:39:18
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 19F8FED0000100000008
    Services           : None
    Status             : RevocationCheckFailure
    Subject            : CN=mail.firma.ru, OU=no, O=FIRMA, L=CITY, S=REG, C=RU
    Thumbprint         : 86D1EB4E2DDE7D7651F272952848FD46D79B1924

    На Exchange вот что дает get-exchangecertificate | fl

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {mail.firma.ru, csex.office.firma.local, mail2.firma.ru, office.firma.ru, autodiscover.office.firma.local, autodiscover.firma.ru}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=office-CSFS-CA, DC=office, DC=firma, DC=local
    NotAfter           : 09.02.2014 0:39:18
    NotBefore          : 10.02.2012 0:39:18
    PublicKeySize      : 2048
    RootCAType         : Enterprise
    SerialNumber       : 19F8FED0000100000008
    Services           : IMAP, POP, IIS, SMTP
    Status             : Valid
    Subject            : CN=mail.firma.ru, OU=no, O=FIRMA, L=CITY, S=REG, C=RU
    Thumbprint         : 86D1EB4E2DDE7D7651F272952848FD46D79B1924

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {CSEX, CSEX.office.firma.local}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=CSEX
    NotAfter           : 17.01.2017 22:38:26
    NotBefore          : 17.01.2012 22:38:26
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 4B4D400C72C889A74B94B8ABF9BC0AC8
    Services           : SMTP
    Status             : Valid
    Subject            : CN=CSEX
    Thumbprint         : 772334DBB175A56052DE301C9D7B8777E13A9CE4

    Если на EDGE давать команду

    Enable-ExchangeCertificate -Thumbprint 86D1EB4E2DDE7D7651F272952848FD46D79B1924 -Service SMTP

    То пишется, что надо заново создать подписку, но подписка уже не делается, т.к. пишется, что у EDEGE и Exchange один сертификат.

    Что не так у меня?

    10 февраля 2012 г. 15:08

Все ответы

  • День добрый.

    1. Сертификат для подписи Edge должен содержать.

    Имя сервера Edge.

    New-ExchangeCertificate -GenerateRequest -DomainName edge-node01.test.local -FriendlyName edge-node01.test.local -PrivateKeyExportable:$true

    Сертификат для Internet, если используються другие домены, то указать их.

    New-ExchangeCertificate -GenerateRequest -DomainName test.com,mail.test.com,autodiscover.test.com -FriendlyName test.com -PrivateKeyExportable:$true

    http://technet.microsoft.com/en-us/library/aa998327.aspx

    2. Сертификат должен проверяться.

    Доступ к опубликованым CRL.

    Должна быть импортирована вся цепочка корневых сертификатов,  вкключая root ca.

    После этого настраивать подписку. Для настройки сертификатов лучше пользоваться первоисточниками, если не получаеться по статьям блогов.

    http://technet.microsoft.com/en-us/library/aa998840.aspx

    http://technet.microsoft.com/en-us/library/aa997438.aspx

    Event ID 12014 may appear in Exchange 2007 Application Event Log

    http://support.microsoft.com/kb/555855

    Решение.

    http://social.technet.microsoft.com/Forums/en/exchangesvradmin/thread/73f135d0-ed6c-4981-ba58-d5c92b8198f1


    MCITP. Знание - не уменьшает нашей глупости.





    10 февраля 2012 г. 17:26
    Модератор
  • Добрый день, Олег!

    Спасибо, за широкий ответ.

    Но не совсем понял, что надо сделать.

    Я так понимаю

    1) Надо удалить сертификат на сервере EDGE ( пусть это будт и его имя, а допустим локальный домен у меня это office.firma.local) и создать новый командой
     New-ExchangeCertificate -GenerateRequest -DomainName EDGE.office.firma.local -FriendlyName EDGE.office.firma.local -PrivateKeyExportable:$true

    2) Потом удаляем созданный сертификат на сервере Exchange и даем команду
    New-ExchangeCertificate -GenerateRequest -DomainName mail.firma.ru,csex.office.firma.local,mail2.firma.ru, office.firma.local,autodiscover.office.firma.local,autodiscover.firma.ru-FriendlyName firma.ru -PrivateKeyExportable:$true

    Далее получившиеся цифры проводим через свой центр сертификации и делаем запрос на Excange, что бы он стал с синей галочкой.

    3) Далее переносим сертификаты root ca в доверенные корневые центры и созданный новый на exchange сертификат в лчиное

    4) Делаем новую подписку

    Я так все понял?

    13 февраля 2012 г. 15:58
  • День добрый.

    Дмитрий вы все правильно поняли. Дополнение, сртификат должен видеть CRL иначе, он будет говорить, что сертификат не валиден. Даже если вы сделаете срок смены сертификатов и crl очень долгим, и импортируете CRL, Exchange всеравно будет дергать сертификат и проверять путь CRL.


    MCITP. Знание - не уменьшает нашей глупости.




    14 февраля 2012 г. 5:37
    Модератор
  • Что такое CRL?

    Это мой локальный центр сертификации?

    Тогда как он его должен видеть и про какой именно сертификат вы пишете, что он должен его видеть?

    14 февраля 2012 г. 10:17
  • Что такое CRL?

    Это мой локальный центр сертификации?

    Тогда как он его должен видеть и про какой именно сертификат вы пишете, что он должен его видеть?


    http://blogs.technet.com/b/pki/archive/2006/11/30/basic-crl-checking-with-certutil.aspx

    MCITP. Знание - не уменьшает нашей глупости.

    14 февраля 2012 г. 10:57
    Модератор
  • Сертификаты проверил. Они валидны.

    Проделал весь пусть как описал, только не менял сертификат root CA, так как он уже есть на EDGE и сам его то я не пересоздавал.

    Но ошибка осталась :-(

    Самое интересное, раньше то ее не было.

    14 февраля 2012 г. 17:00
  • Дмитрий, если есть ошибка ее надо публиковать. Заниматься чтением ошибок между строк, нет такого навыка.


    MCITP. Знание - не уменьшает нашей глупости.


    15 февраля 2012 г. 9:34
    Модератор
  • Извиняюсь.

    Речь идет все о той же ошибке, что в начале темы

    15 февраля 2012 г. 10:48
  • Дмитрий, сделайте:

    1. Отвязку подписки.

    http://technet.microsoft.com/en-us/library/bb124807.aspx

    2. Enable-ExchangeCertificate, проверьте валидность нового сертификата. Старые сертификаты удалите.

    3. Сделайте привязку.


    MCITP. Знание - не уменьшает нашей глупости.

    16 февраля 2012 г. 9:20
    Модератор
  • 1) Тут понятно

    2) Enable-ExchangeCertificate - поподробней об это можно?

    Валидность проверить сертификатов на самом Exchange ( который я создаю) и Edge ( который он сам делает )?

    Старые сертификаты удалить в оснасте "сертификаты" или через консоль? Если через консоль то как?

    Самоподписывающий сертификат Exchange не трогать?

    3) Тут понятно

    16 февраля 2012 г. 18:32
  • 1.Enable-ExchangeCertificate - поподробней об это можно?

    Это подписываение сертификата для служб. Enable-ExchangeCertificate http://technet.microsoft.com/en-us/library/aa997231.aspx

    2. Валидность проверить сертификатов на самом Exchange ( который я создаю) и Edge ( который он сам делает )?

    Когда вы подписали сертификат для службы Exchange сам проверяет валидность сертификата.

    3. Старые сертификаты удалить в оснасте "сертификаты" или через консоль? Если через консоль то как?

    Удалять как вам удобно. Можно через EMS или EMC или MMC/Cerificate.

    4. Самоподписывающий сертификат Exchange не трогать?

    Обычно я его не трогаю. Удаляю не валидные или устаревшие сертификаты.


    MCITP. Знание - не уменьшает нашей глупости.

    20 февраля 2012 г. 5:55
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    27 февраля 2012 г. 13:19