【排错】Exchange邮箱配置时常见证书问题排错

• 常规讨论

• 

  

  0

  登录进行投票

  在我们论坛，经常可以看到关于配置邮箱时遇到的证书相关问题，比如以下这些帖子：

  • https://social.technet.microsoft.com/Forums/office/zh-CN/b23e8086-b4a6-4539-90d9-2dea9fa44a12/exchange-2010-2517124320outlook2345825143314712555231034?forum=exchangeserverzhchs 
  • https://social.technet.microsoft.com/Forums/office/zh-CN/a1313e3b-d3b9-4b89-ab6f-949a1b865d2c/exchange-2010-?forum=exchangeserverzhchs
  • https://social.technet.microsoft.com/Forums/office/zh-CN/a1d27123-ee25-4336-a5cb-0fd064e70f3e/outlook?forum=exchangeserverzhchs

  在这，我们简单介绍一下Outlook中常见的三种证书弹窗错误以及相应的检查方法：
  

  1. 该证书已经到期或还未生效：
  
  
  a. 在Outlook客户端可以通过点击“查看证书“来查看证书的有效时间，从而确定当前时间是否在有效时间内：

  
  

  b. 同时，在服务器端可以使用以下命令来查看所使用的证书的有效时间：

  Get-ExchangeCertificate | FL Subject,NotBefore,NotAfter,Services

  
  

  该问题一般是证书过期引起的，针对这种情况在ECP/EMC中更新（Renew）一下证书并重新分配服务即可。

  2. 颁发该安全证书的公司不是你信任的公司。请查看证书以确定是否要信任该安全证书验证机构：

  

  出现该证书弹窗一般是由于以下原因：

  a. 正在使用自签名证书：

  I. 点击查看证书，把该证书导入到当前电脑的根信任目录中。

  

  II. 使用内部CA颁发的证书或者购买三方证书来代替现有的自签名证书。(如果使用内部CA证书仍然出现该问题，可以按照上图手动导入该证书)

  我们可以从ECP中查看证书的类型：

  

  b. 使用内部CA颁发的证书在外网访问：

  I. 手动把内部CA证书导入到本机的根信任目录中。

  II. 使用三方证书来替换现有的内部CA证书。

  3. 安全证书上的名称无效或与网站的名称不相符：
  

  这一个错误是由于正在使用的证书中包含的Subject和Outlook尝试访问的URL不同，可以通过以下的两种方式来查看: 

  a. 直接点击 “查看证书” 检查这一个参数“Subject Alternative Name”:

  

  b. 在服务器端使用以下的命令来查看证书中包含的记录：

  Get-ExchangeCertificate | fl Subject,CertificateDomains,Services

  使用以下的命令查看服务器各个服务使用的URL：
  

  Outlook端使用的服务：

  Get-OutlookAnywhere | Select Server,InternalHostName,ExternalHostName
  Get-MAPIVirtualDirectory | Select Server,InternalURL,ExternalURL
  Get-OABVirtualDirectory | Select Server,InternalURL,ExternalURL
  Get-WebServicesVirtualDirectory | Select Server,InternalURL,ExternalURL
  Get-ClientAccessServer | Select Name,AutoDiscoverServiceInternalUri

  剩余的服务（Web端+手机端+PowerShell）：
  

  Get-OWAVirtualDirectory | Select Server,InternalURL,ExternalURL
  Get-ECPVirtualDirectory | Select Server,InternalURL,ExternalURL
  Get-ActiveSyncVirtualDirectory | Select Server,InternalURL,ExternalURL
  Get-PowerShellVirtualDirectory | Select Server,InternalURL,ExternalURL

  如果证书中包含的记录和虚拟目录使用的不同，可以采取以下任意一种方式使其相同：
  

  a. 使用类似于以下的命令来修改各个服务的虚拟目录，使其URL和证书中的记录相同。（确保修改后的URL能够被成功解析)

  Set-OABVirtualDirectory -Identity "Server1\OAB (Default Web Site)" -ExternalUrl "https://www.contoso.com/OAB"

  b. 重新申请一张证书，确保包含正确的记录在里面。
  

  以下为应用证书时额外需要注意的事情：

  • 证书是基于服务器的，所以当环境中有多台Exchange服务器（分角色安装）的时候，为一台服务器安装或者更新证书之后一般也需要把证书导入到其他服务器上。
  • 当把IIS服务分配到新的证书后，需要在CMD中以管理员权限运行IISReset来强制更新一下IIS服务。
  • 需要把该证书上的服务分配给其它证书后才能成功删除该证书。

  参考文章：

  • https://support.microsoft.com/zh-cn/help/940726/outlook-2007-security-warning-the-name-of-the-security-certificate-is
    
  • https://support.microsoft.com/zh-cn/help/2772058/the-name-on-the-security-certificate-is-invalid-or-does-not-match-the
  • https://support.microsoft.com/zh-cn/help/297681/error-message-this-security-certificate-was-issued-by-a-company-that-y

  希望上述方法能帮到您。如果您对此还有其他问题，欢迎随时来我们论坛提问 (点击文章页面左上角的“提出问题”按钮快速发帖）。
  

  ---

  如果帖子有帮到您的话，请点击左上方“投票”按钮。这将帮到阅读到这个帖子的其他用户。

  • 已编辑 ForumFAQModerator 2019年1月3日 8:42

  2019年1月3日 8:23

  回复

  |

  引用

  版主