none
Проблема с новым сертификатом RRS feed

  • Вопрос

  • Мы используем Exchange Server 2016 в своей работе. Используем сертификат, выпущенный центром сертификации DigiCert. Но подходит время, когда текущий сертификат в ближайшем будущем закончится. В журнале событий об этом появляется соответствующее сообщение:

    Источник: MSExchangeFrontEndTransport

    Категория: TransportService

    ID: 12018

    The STARTTLS certificate will expire soon: subject: mail.sovmortrans.com, thumbprint: F3DA31E73D2D7BAC1E30146EF74D3DFAF51C35E7, expires: 15.03.2018 12:00:00. Run the New-ExchangeCertificate cmdlet to create a new certificate.

    Мы выпустили новый сертификат. Я импортировал его (Import-ExchangeCertificate) и назначил службам Exchange с помощью командлета

    Enable-ExchangeCertificate -Thumbprint 13BD80C49497166145A4F91B61CF6661FF4D7565 -Services smtp

    Данный сертификат в последствии будет объединен с другим сертификатом с целью поддержки имен типа *.smt.com, поэтому я привязал сертификат только к службе smtp. На запрос о переназначении отвечаю Y. Далее я удалил предыдущий сертификат с помощью командлета remove-exchangecertificate.

    Теперь получаю такую картину:

    [PS] C:\Windows\system32>get-exchangecertificate

    Thumbprint                                Services   Subject
    ----------                                --------   -------
    13BD80C49497166145A4F91B61CF6661FF4D7565  .P.WS..    CN=mail.smt.com, O=Sfh-Smt, L=Moscow, C=RU
    39528DFBAC350AF33AB88B0503DE6BB29E0B7F61  I...S..    CN=srv-mail01
    65D6855B6B84ED68875DA7D011F0292E2C3A9D19  I...S..    CN=srv-mail01
    B8EF7C126295867B924B713FAC811E0E3E24E73B  .P.WS..    CN=*.moscow.smt.com, OU=IT-Service, O="Sfh",...
    1B9236A6176BE886AEC3DAB86F3505C430516445  ....S..    CN=Microsoft Exchange Server Auth Certificate
    14E4B40D97DAF4F134DB7266F36FDEB89558C966  I...S..    CN=srv-mail01
    341A38252C185D8B2D4D319D9DB3DAEE0557A4A0  .......    CN=WMSvc-SHA2-SRV-MAIL01

    Однако, вижу в журнале событий такую ошибку:

    Источник: MSExchangeFrontEndTransport

    Категория: TransportService

    ID: 12014

    Microsoft Exchange could not find a certificate that contains the domain name <I>CN=DigiCert SHA2 High Assurance Server CA, OU=www.digicert.com, O=DigiCert Inc, C=US<S>CN=mail.smt.com, OU=IT-Service, O="Sfh", L=Moscow, S=Moscow City, C=RU in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Client Frontend SRV-MAIL01 with a FQDN parameter of <I>CN=DigiCert SHA2 High Assurance Server CA, OU=www.digicert.com, O=DigiCert Inc, C=US<S>CN=mail.smt.com, OU=IT-Service, O="Sfh", L=Moscow, S=Moscow City, C=RU. If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.

    Из сообщения вижу, что соединитель Client Frontend SRV-MAIL01 по прежнему привязан к старому сертификату. По идее командлет enable-exchangecertificate должен был поправить ссылку к сертфикату, но этого не происходит. Убеждаюсь в этом, вызвав командлет get-receiveconnector:

    [PS] C:\Windows\system32>Get-ReceiveConnector "srv-mail01\Client Frontend SRV-MAIL01" | fl tlscertificatename


    TlsCertificateName : <I>CN=DigiCert SHA2 High Assurance Server CA, OU=www.digicert.com, O=DigiCert Inc, C=US<S>CN=mail.
                         smt.com, OU=IT-Service, O="Sfh", L=Moscow, S=Moscow City, C=RU

    Если я снова импортирую старый сертификат, то снова будет появляться ошибка в журнале событий MSExchangeFrontEndTransport/12018, которая отмечена первой.

    Как можно решить проблему?

    6 февраля 2018 г. 7:12

Ответы

Все ответы

  • Ошибка 12018 вас просто предупреждает заранее, что срок действия сертификата подходит к концу, вы вообще можете на неё не обращать внимания.
    • Предложено в качестве ответа Dima RazbornovMVP 6 февраля 2018 г. 7:26
    6 февраля 2018 г. 7:16
  • Я это понимаю. Старался описать подробнее ситуацию.

    Вопрос, почему соединитель не привязывается к новому сертификату? И как его заставить это делать?

    • Изменено MikAndr 6 февраля 2018 г. 7:37
    6 февраля 2018 г. 7:35
  • А вы Enable-ExchangeCertificate как запускали? Просто голый командлет или параметры указали как в сообщении написано?
    6 февраля 2018 г. 7:42
  • Запускал так:

    Enable-ExchangeCertificate -Thumbprint 13BD80C49497166145A4F91B61CF6661FF4D7565 -Services smtp

    В параметре thumbprint указан отпечаток нового сертификата. После запуска командлет запрашивает подтверждение на переопределение сертификата. Я ответил Y.

    6 февраля 2018 г. 7:50
  • Вы можете дропнуть этот сертификат (только перед этим сохраните с закрытым ключом обязательно), проверить какой сертификат назначится и снова запустить ваш командлет, если потребуется.

    После этого возвращайте оригинальный сертификат обратно.

    6 февраля 2018 г. 9:01
  • Так я же и написал, что удалил старый сертификат с помощью командлета remove-exchangecertificate. Вывод командлета get-exchangecertificate я привел в своем сообщении.

    [PS] C:\Windows\system32>get-exchangecertificate

    Thumbprint                                Services   Subject
    ----------                                --------   -------
    13BD80C49497166145A4F91B61CF6661FF4D7565  .P.WS..    CN=mail.smt.com, O=Sfh-Smt, L=Moscow, C=RU
    39528DFBAC350AF33AB88B0503DE6BB29E0B7F61  I...S..    CN=srv-mail01
    65D6855B6B84ED68875DA7D011F0292E2C3A9D19  I...S..    CN=srv-mail01
    B8EF7C126295867B924B713FAC811E0E3E24E73B  .P.WS..    CN=*.moscow.smt.com, OU=IT-Service, O="Sfh",...
    1B9236A6176BE886AEC3DAB86F3505C430516445  ....S..    CN=Microsoft Exchange Server Auth Certificate
    14E4B40D97DAF4F134DB7266F36FDEB89558C966  I...S..    CN=srv-mail01
    341A38252C185D8B2D4D319D9DB3DAEE0557A4A0  .......    CN=WMSvc-SHA2-SRV-MAIL01

    Сертификат с отпечатком 13BD80C49497166145A4F91B61CF6661FF4D7565 - это новый сертификат. Старого сертификата нет.

    После этого регистрируется ошибка

    Источник: MSExchangeFrontEndTransport

    Категория: TransportService

    ID: 12014

    Из текста ошибки видно, что соединитель ожидает старый сертификат.

    В системе есть другие серверы Exchange. Интересно, что команда get-receiveconnector выдает пустое поле TlsCertificateName:

    [PS] C:\Windows\system32>Get-ReceiveConnector "srv-mail02\Client Frontend SRV-MAIL02" | fl tlscertificatename


    TlsCertificateName :

    Может быть достаточно очистить это поле, например, командой set-receiveconnector?

    6 февраля 2018 г. 9:09
  • Не очистить, а настроить, как в вот в этой статье.
    • Предложено в качестве ответа Egor Vasilev 6 февраля 2018 г. 9:45
    • Помечено в качестве ответа MikAndr 6 февраля 2018 г. 9:46
    6 февраля 2018 г. 9:27
  • Прошу прощения, упустил момент с удалением сертификата. Дмитрий вам уже привел в пример вариант решения проблемы, действуйте.
    6 февраля 2018 г. 9:46
  • Большое спасибо. Все получилось в соответствии со статьей Configuring the TLS Certificate Name for Exchange Server Receive Connectors: https://practical365.com/exchange-server/configuring-the-tls-certificate-name-for-exchange-server-receive-connectors/

    6 февраля 2018 г. 9:48