Устранение ошибки сертификата STARTTLS 12014

 

Применимо к: Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-05-23

В этом разделе рассказывается об устранении неполадок, связанных с событием 12014. Событие 12014 — это предупреждение, указывающее на проблему возникшую при загрузке сертификата, используемого для STARTTLS. Как правило, эта проблема возникает при выполнении одного из указанных ниже условий.

• Полное доменное имя, указанное в предупреждении, было определено на соединителе отправки или соединителе приема на транспортном сервере Microsoft Exchange Server 2007. Кроме того, на компьютере, содержащем полное доменное имя в полях «Субъект» или «Дополнительное имя субъекта», не установлены сертификаты.

• На сервере установлен сертификат стороннего поставщика или настраиваемый сертификат. Этот сертификат содержит соответствующее полное доменное имя. Однако этот сертификат не включен для службы SMTP.

Для использования протокола TLS (Transport Layer Security) необходимо, чтобы в личном хранилище сертификатов на компьютере был установлен допустимый сертификат.

Предварительная подготовка

Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать следующие полномочия:

• роль администратора Exchange с правами на просмотр для выполнения командлета Get-ExchangeCertificate;

• роль администратора сервера Exchange Server и членство в локальной группе администраторов целевого сервера для выполнения командлетов New-ExchangeCertificate и Enable-ExchangeCertificate.

Для выполнения любого из указанных выше командлетов на компьютере с установленной ролью пограничного транспортного сервера необходимо войти в систему с учетной записью, входящей в локальную группу администраторов на этом компьютере.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования сервера Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.

Порядок действий

Устранение данного предупреждения

1. Проверьте конфигурацию сертификатов, установленных на сервере Exchange Server и конфигурацию всех соединителей приема и отправки, установленных на сервере. Для просмотра конфигурации выполните следующие команды:

   Get-ExchangeCertificate | FL *
   Get-ReceiveConnector | FL name, fqdn, objectClass
   Get-SendConnector | FL name, fqdn, objectClass
   

   Примечание.
   Чтобы вывести список служб, включенных для установленного сертификата, необходимо ввести звездочку (*) в качестве значения аргумента FL командлета Get-ExchangeCertificate. Если в параметрах задачи не указать звездочку (*), список служб выведен не будет.

   Выполните команды и сравните полное доменное имя, возвращенное предупреждением, с полным доменным именем, определенным на каждом соединителе, а также со значениями CertificateDomains , определенными для каждого сертификата. Значение параметра CertificateDomains представляет собой объединение полей сертификата «Субъект» и «Дополнительное имя субъекта».

   Необходимо убедиться в том, что для каждого соединителя, использующего протокол TLS, имеется соответствующий сертификат, содержащий полное доменное имя соединителя в значениях параметра CertificateDomains сертификата. Запомните все соединители, включенные для использования протокола TLS, но не имеющие соответствующего сертификата, значения параметра CertificateDomains которого содержат полное доменное имя соединителя.

   Проверьте значение параметра Services для каждого сертификата. При использовании сертификата для протокола TLS его необходимо включить для службы SMTP, использующей значение параметра Services SMTP.

2. Если значение параметра CertificateDomains не содержит полное доменное имя, необходимо создать новый сертификат и указать полное доменное имя соединителя, возвращаемое предупреждением. Создать сертификат можно с помощью командлета New-ExchangeCertificate. Также можно воспользоваться сертификатом стороннего поставщика или настраиваемым сертификатом. Для создания запроса сертификата используется командлет New-ExchangeCertificate. Дополнительные сведения см. в разделе Создание сертификата или запроса сертификата для TLS. 

3. Если на сервере был установлен сертификат стороннего производителя или настраиваемый сертификат, и этот сертификат содержит соответствующее полное доменное имя, но при этом он не включен для службы SMTP, необходимо включить сертификат для службы SMTP. Дополнительные сведения см. в разделе Enable-ExchangeCertificate. 

Дополнительные сведения

Дополнительные сведения см. в следующих разделах:

• Создание сертификата или запроса сертификата для TLS

• New-ExchangeCertificate

• Get-ExchangeCertificate

• Enable-ExchangeCertificate