none
IMAP/POP3 и Wilcard сертификат RRS feed

  • Вопрос

  • Здравствуйте!
    Помогите пожалуйста. Был закуплен wilcard сертификат для Exchange 2007. Однако при попытке подключить его к IMAP/POP3 сервисам выдается следующее:
    WARNING: This certificate will not be used for external TLS connections with an
     FQDN of '*.firma.ru' because the self-signed certificate with thumbprint
    'Thumbprint' takes precedence. The following
    connectors match that FQDN: IMAP4.
    Причем thumbprint пишет именно добавляемого сертификата

    Версия Excahnge - SP1  с последним update rollup

    Перед этим я удалил с этих сервисов self-signed сертификаты, до их удаления было тоже самое


    • Перемещено Hengzhe Li 12 марта 2012 г. 10:33 forum merge (От:Exchange Server 2007)
    16 июня 2009 г. 17:18

Все ответы

  • http://support.microsoft.com/kb/948896

    "Please complete the configuration for each service by running "set-POPSettings -X509CertificateName <The FQDN that POP clients will use to connect server>" for the POP3 service and “set-IMAPSettings -X509CertificateName <The FQDN that POP clients will use to connect server>” for the IMAP4 service."

    - насколько я понял эту статью - в частности, приведённую выше цитату - вам надо вручную донастроить pop3 и imap

    17 июня 2009 г. 15:33
  • Это понятно и было сделано. Но сертификат не проходит.
    И  мне не понятно почему Exchange коммерческий сертификат распознает как самоподписанный.

    18 июня 2009 г. 9:04
  • A чей это сертификат? Кто его подписывал? Организация уровня VeriSign или какая-то сторонняя? Попробуйте в списке доверенных издателей прописать издателя этого сертификата - должно помочь. Такое иногда случается из-за сбоев хранилища сертификатов.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    18 июня 2009 г. 11:34
  • А сервер перезагружали после удаления старых сертификатов и установки нового? Были похожие проблемы с SMTP сервисом, помогла перезагрузка и последующая Enable-ExchangeCertificate.
    Andrey
    18 июня 2009 г. 13:55
  • Да, сертификат от Thawte.
    Попробовал перегрузить сервер - не помогло.

    И этот сертификат нормально работал на Exchange 2003 и для 2007-го нормально сработал для IIS и SMTP.

    18 июня 2009 г. 14:18
  • позвольте ещё раз докопаться и уточнить - вы давали команду
    set-POPSettings -X509CertificateName <The FQDN that POP clients will use to connect server>  - и потом коннектились клиентом по адресу <The FQDN that POP clients will use to connect server> - и получается облом?

    18 июня 2009 г. 18:37
  • У меня не работает команда enable-exchangecertificate, до подключения клиента дело не доходит
    22 июня 2009 г. 7:37
  • Покажите Get-ExchangeCertificate |fl.
    http://okrylov.wordpress.com
    22 июня 2009 г. 9:42
    Модератор
  • [PS] C:\Windows\System32>Get-ExchangeCertificate | fl


    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                         .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                         ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
                         ssControl.CryptoKeyAccessRule}
    CertificateDomains : {*.firma.ru}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : E=premium-server@thawte.com, CN=Thawte Premium Server CA,
                         OU=Certification Services Division, O=Thawte Consulting cc
                         , L=Cape Town, S=Western Cape, C=ZA
    NotAfter           : 09.12.2010 2:59:59
    NotBefore          : 08.12.2008 3:00:00
    PublicKeySize      : 1024
    RootCAType         : ThirdParty
    SerialNumber       : 54252660263D26A3D513BB8124292A1B
    Services           : IIS, SMTP
    Status             : Unknown
    Subject            : CN=*.firma.ru, OU=DOIT, O=ZAO Firma, L=Mos
                         cow, S=Moscow, C=RU
    Thumbprint         : 3D41AB09DD4DD246280D8A005C58DA5AB9689993

    22 июня 2009 г. 11:05
  • Это он и есть? вот тут
     Status: Unknown
    IMHO, не очень хорошо. У Вас сервер имеет доступ к CRL Thawte?


    http://okrylov.wordpress.com
    22 июня 2009 г. 13:00
    Модератор
  • Дал доступ к CRL - status стал Valid
    однако проблема продолжается:

    enable-ExchangeCertificate -Thumbprint  3D41AB09DD4DD24280D8A005C58DA5AB9689993 -Services imap
    WARNING: This certificate will not be used for external TLS connections with an
     FQDN of '*.firma.ru' because the self-signed certificate with thumbprint
    '3D41AB09DD4DD246280D8A005C58DA5AB9689993' takes precedence. The following
    connectors match that FQDN: IMAP4.
    23 июня 2009 г. 5:53
  • Имею я некоторые подозрения. Дайте-ка посмотреть Get-SendConnector |fl и Get-ReceiveConnector |fl. Можно в приват ( krylovDOTolegAThotmailDOTcom), где DOT=точка, AT=собака.
    http://okrylov.wordpress.com
    23 июня 2009 г. 5:58
    Модератор
  • А можно по-подробнее про подозрения? А то у меня send коннекторов штук 20 и 8 Receive коннекторов (по 2 на 4 HUBа)

    23 июня 2009 г. 7:52
  • >The following connectors match that FQDN: IMAP4.
    Вот конкретно на него хочу посмотреть. А именно FQDN и Source Server для него.
    Ну вообще можно Get-SendConnector -Identity IMAP4 |fl
    http://okrylov.wordpress.com
    23 июня 2009 г. 7:54
    Модератор
  • Такого конечно нет. Receive коннекторов тоже таких нет :)

    [PS] C:\Windows\System32>Get-SendConnector -Identity IMAP4 |fl
    Get-SendConnector : The operation could not be performed because object 'IMAP4'
     could not be found on domain controller dc01.firma.ru'.
    At line:1 char:18
    + Get-SendConnector  <<<< -Identity IMAP4 |fl
    23 июня 2009 г. 8:18
  • Вот поэтому давайте все коннекторы, только назначте вывод в файл >C:\Connectors.txt в конце припишите и шлите это дело в почту.


    http://okrylov.wordpress.com
    23 июня 2009 г. 8:20
    Модератор