none
關於Pushmail的憑證問題 For Exchange 2007 RRS feed

  • 問題

  •  

    Dear 各位先進

     

    在參考微軟所提供的Pushmail建置 For Exchange 2007的部份,目前在設定上遇到一些問題,在憑證方面我是自己私下產生的,所以在匯入到Exchange 2007時,就有出現「憑證鏈無法建立於受信任的根授權。 0x800b010a (-2146762486)」訊息,當我使用「Enable-ExchangeCertificate –Thumbprint 7499E454CB9C4270E6AF4828A45F0E9B9F0BE4B4 –Services "IIS"」匯入時,就出現問題了,其訊息為

    「找到含有指紋 7499E454CB9C4270E6AF4828A45F0E9B9F0BE
    4B4 的憑證,但是無法與 Exchange Server 搭配使用 (原因: PrivateKeyMissing)。
    位於 行:1 字元:27
    + Enable-ExchangeCertificate  <<<< –Thumbprint 7499E454CB9C4270E6AF4828A45F0E9
    B9F0BE4B4 –Services "IIS"」

     

    想請教的是,我是否有什麻地方沒設定好的?再麻煩各位先進不吝指導,感謝。

     

    2008年9月26日 上午 07:10

解答

所有回覆

  • 你好:

     

    可以簡述一下你的做法嗎?

    從你所說的問題上來看,你是否是從其他台電腦去產生這張憑證呢??

    目前看到的問題如下

    問題一: 你的Exchange Server 未安裝根憑證

    問題二: 這張憑證不含Private Key

    2008年9月30日 上午 03:13
    版主
  •  

    Dear Lusheng

     

    感謝您的回覆,關於我的做法方面,我是依照微軟所提供的文件來進行設定,其參考網站為http://www.microsoft.com/taiwan/technet/prodtechnol/exchange/2007/mobility2_2.mspx

    ,當我執行到第四個程序時,就出現了錯誤訊息,在產生憑證的方面,我確認是透過他台Windows 2003 Server去產生的,不知道是那裡出了問題?再麻煩您指導。另外,依照您所看到的問題方面,我確實是沒有在Exchange Server安裝根憑證。

    2008年9月30日 下午 12:38
  • 1.我建議你重新做這部分,首先你的憑證伺服器應該不是企業根伺服器,我建議你先安裝一台

    企業根伺服器,這樣之後要部屬Outlook anywhere 也必較方便。另外其他的Client & 伺服器也不需要

    再額外匯入根憑證。

    (如果不要的話,就是在你的Exchange Server 上,連到http://caservername/certsrv 去下載安裝根憑證)

    2.再到Exchange Server 上,連到憑證伺服器,重新要求憑證。

    2008年9月30日 下午 02:18
    版主
  • Dear Lusheng

     

    想請教一下,如果我直接在Exchange Server安裝企業根伺服器的話,是否就能解決這些問題了呢?因為到時我也會想嘗試使用outlook anywhere。

     

    感謝您的指導

     

    2008年10月1日 上午 05:43
  • 你應該找一台Windows 2003 Member Server然後安裝Microsoft CA Server成為企業根憑證伺服器

     

    2008年10月1日 上午 05:56
  • Dear Jammy

     

    想請教一下,為何不能在Exchange Server安裝呢?如果以另一台Windows 2003 Server安裝企業根憑證伺服器的話,那依照Lusheng的建議來看,我應該僅需只要在Exchange Server匯入根憑證,然後再重新申請憑證就可以使用Exchange 2007 Pushmail了?,那之後這台Microsoft CA Server就應該可以不用存在吧?另外,想了解outlook anywhere這方面是否也能正常運作呢?

     

    感謝您的回覆與指導。

    2008年10月1日 上午 07:01
  • Dear Lusheng

     

    依照您的建議去進行,但還是會出現相同的錯誤訊息,我已將憑證伺服器改為企業根伺服器,並且下載CA憑證後讓Exchange Server進行憑證安裝,之後再進行相關的設定,唯一不同的是,我並沒有讓Exchange Server直接與憑證伺服器連線,而是透過其他PC先與憑證伺服器下載CA憑證。請問我是否有其他地方有誤?

     

    2008年10月11日 上午 05:21
  • 如果你是安裝Windows 2003 CA成為企業的根憑證伺服器的話,

    那麼 Exchange會自動信任此憑企業根憑證,所以不需手動再去信任它

    至於在Client Access Server的憑證方面還是要依程序將申請一個CA憑證用作為Outlook Anywhere/OWA/Push Mail等

    2008年10月11日 上午 10:03
  • Dear Jammy

     

    感謝您的回覆,但我目前並不打算讓公司有一台Windows 2003 CA,所以我只想取出根企業憑證匯入到Exchange,以利進行Pushmail的設定,而且在我測試的過程中,也未看到Exchange有自動信任此根企業憑證,是否我的操作有問題?。目前都一直出現PrivateKeyMissing的訊息,無法再進行設定....

     

    想請教一下,除了Microsoft有提供Exchange 2007 Pushmail的設定方式之外,是否還有其他網站有提供這一類的資訊,因為我找了好久都找不到,然後Microsoft所提供的方式我又一直設定不起來,真的快讓我吐血了...

    2008年10月14日 上午 01:07
  • 你好:

     

    你的說法我愈看愈模糊,你現在是有Root CA,還是沒有呢?

     

    如同之前我和Jammy 所說,要匯入根憑證,是在沒有Enterprise Root CA時,才必須匯入。

     

    且就算有了根憑證,伺服器還是必須要向CA Server,申請一個 Web Server 範本的憑證。

     

    如果你是在其他的電腦上做申請,那麼該憑證的私密金鑰 一定是在那台申請的電腦上。

     

    你再匯出憑證時,一定要選擇將私密金鑰給匯出,有私密金鑰的匯出憑證檔名為.pfx,不會是.cer

     

    你在檢查一下吧。

     

     

    2008年10月14日 上午 02:31
    版主
  • Dear  Lusheng

     

    "你的說法我愈看愈模糊,你現在是有Root CA,還是沒有呢?"

    ANS:沒有,所以我重新架設了一台企業根憑證的Windows 2003 Server

     

    目前我的建置方式如下

    1、由Exchange Server直接連線到CA Web下載,透過「下載 CA 憑證,憑證鏈結或 CRL 」的「下載 CA 憑證」,並將憑證匯入到Exchange Server,這樣子應該就有完成根憑證的匯入了。

    2、之後就是依照MicroSoft的建置文件一步一步做,其過程都是Exchange與CA Web進行,可是還是會出現無私密金鑰的訊息

     

    您提及到“你再匯出憑證時,一定要選擇將私密金鑰給匯出,有私密金鑰的匯出憑證檔名為.pfx“,小弟不才,是否能再詳細說明呢?

     

    感謝您的指導。

     

     

    2008年10月15日 上午 04:02
  •  

    要確認有無信任根憑證,開啟IE->工具->網際網路選項->內容->憑證->信任的根憑證 去看看有沒有Root CA 的憑證在就知道了。

     

    另外你現在在申請憑證時,是使用Ex2007那台機器來申請的嗎?

    如果是私密金鑰一定會在本身有,(你在做Enable-Exchangecertificate 前,有import-exchangecertificate嗎?)

    要檢查該憑證是否有私密金鑰,可以開啟mmc ->新增 憑證的mmc ->選擇 本機主機 -> 展開個人 -> 點選你申請的憑證名稱

    -> 在該憑證 一般 的頁面下 應該會有 類似該憑證包含私密金鑰 等字。

    2008年10月15日 上午 06:39
    版主
  • Dear Lusheng

     

    感謝您的回覆,我檢查的結果如下

     

    "要確認有無信任根憑證,開啟IE->工具->網際網路選項->內容->憑證->信任的根憑證 去看看有沒有Root CA 的憑證在就知道了。" -->這一部份已確認,我有將企業根憑證手動匯入到信任的根憑證

     

    "另外你現在在申請憑證時,是使用Ex2007那台機器來申請的嗎?"-->是的,並依循MicroSoft的Exchange Server 2007 設定篇進行設定

     

    "如果是私密金鑰一定會在本身有,(你在做Enable-Exchangecertificate 前,有import-exchangecertificate嗎?)"-->根據MicroSoft的Exchange Server 2007 設定篇的說明,我的設定應該是沒錯的,其流程是

    1、使用 Exchange 管理命令介面建立憑證要求檔案 (ca-request.txt)

    2、過憑證網站申請伺服器憑證 (certnew.cer)

    3、使用 Exchange 管理命令介面匯入憑證(Import-ExchangeCertificate –Path c:\certnew.cer)

    4、使用 Exchange 管理命令介面,將憑證指派給 IIS(Enable-ExchangeCertificate)

     

    但到第四個步驟就會告知我無私密金鑰....

     

    "該憑證 一般 的頁面下 應該會有 類似該憑證包含私密金鑰 等字"-->並沒有發現有這段訊息,

    是否我有漏了什麻細節的設定?才會導致沒有這段訊息?

     

    再次感謝您不吝指導。

     

    2008年10月16日 上午 02:47
  • 將現有的憑證移除,在依程序重新做一次。

     

    再檢查有無私密金鑰。

    2008年10月16日 上午 03:53
    版主
  • Dear Lusheng

    很抱歉這麻久才回覆,這個問題已經解決了,正如您所指導的方式,感謝您的指導。

    2010年10月13日 上午 10:00
  • 謝謝你的回報
    Lusheng
    2010年10月14日 上午 03:36
    版主