none
S/MIME 加密过程中,Exchange是如何与AD CS,AD DS服务器之间如何协同工作的 RRS feed

  • 问题

  • 公司最近更换证书服务器,需要将部分用户的旧证书吊销,重新颁发新的证书,我在测试过程中发现如果在CA服务器上将A用户证书吊销后,AD服务器用户属性中证书依然存在,使用outlook发送给A发送加密邮件时提示A用户证书丢失或无效,我想确定下Exchange服务器在这个加密过程中,如何与AD DS、AD CS服务器互动,A的公钥存放在何处,是否在吊销A的证书后,公钥既失效;我在吊销A用户的证书后,当天还可以正常收发加密邮件,A用户的公钥是否在Exchange还有缓存。

    之前同事在Exchange板块提过该问题,反馈需要到CA板块来提问,我没找到更合适的论坛类别,希望哪位大神能解惑一二,感激不尽!

    2019年6月12日 7:34

答案

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet发帖。

    1. 根据我们的描述,我在我的测试环境中作了一个简单的测试,我给域用户发了一个证书,在已颁发的证书列表中显示如下:



    2. 然后我把这个证书吊销了,现在显示在已吊销的证书列表中:


    3. 我在AD这个用户的属性中查看,这个证书还是在这个属性中显示的:



    4. 我们提到的公钥存放在哪里,我在证书的属性中就可以看到公钥这个属性:



    我们可以从以下几方面排查问题:

    1. 我们先去检查对应的证书是否真的被吊销了,使用如下命令检查(RequestID需要改成对应的ID号,我的是29):

    Get-RevokedRequest -CertificationAuthority $env:COMPUTERNAME -Filter "RequestID -eq 29" -Property * | Select RequestID, @{Label="RequesterName";Expression={($_."Request.RequesterName")}}, CommonName, Notafter, EMail, DistinguishedName, @{Label="Revoked When";Expression={($_."Request.RevokedWhen")}} | Format-Table -AutoSize



    如果确实吊销了,对应的用户是不能正常收发加密邮件的。

    2. 如果还能正常使用这个证书来收发加密邮件,我们需要检查这个用户正常收发加密邮件的证书,是否确实使用这个已经吊销的证书。

    3. 是不是所有的Exchange用户吊销了Exchange证书,都出现了您描述的还可以正常收发加密邮件。

    4. 我们吊销的证书的格式是什么格式的证书。




    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月13日 9:38
    版主
  • 我的测试步骤如下:

    1.用户申请证书,配置outlook邮件加密、签名。测试收发邮件,正常。

    2.吊销用户证书,吊销原因选择证书待定,在吊销的证书列表中可以找到该证书。在吊销操作完成的几个小时内,outlook、owa均可正常收发邮件,隔一天后,再测试接收则提示证书丢失或无效。

    3.恢复证书后,owa即可发送、接收加密邮件,outlook依然提示证书丢失或无效。隔一天后,outlook可以正常收发加密邮件。

    我想了解的是使用outlook、owa发送加密邮件时,使用的收件人存放何处的公钥,是否和outlook的脱机通讯录更新时效有关?为什么吊销证书后一小段时间内,还可以正常收发邮件。证书恢复后owa即可即时生效,outlook还是无法收发加密邮件,谢谢了!

    2019年6月17日 1:45
  • 尊敬的客户,您好!

    根据我们的描述,我们的问题与Exchange和OWA相关,建议我们在如下对应的论坛发帖进一步咨询。

    Exchange Online
    https://social.technet.microsoft.com/Forums/en-US/home?forum=onlineservicesexchange

    Exchange Server 2013 - Outlook, OWA, POP, and IMAP Clients
    https://social.technet.microsoft.com/Forums/office/en-US/home?forum=exchangesvrclients

    Outlook IT Pro Discussions
    https://social.technet.microsoft.com/Forums/office/en-us/home?forum=outlook


    感谢您的理解和支持。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月17日 8:42
    版主
  • 好的,感谢您的支持!
    2019年6月17日 9:24