none
证书颁发机构证书到OWA错误 RRS feed

  • 问题

  • 我用http://mail.domain.com/certsrv申请得到的证书访问owa模式时可以进去,但是显示证书错误。
    然后我把IIS上的证书和证书颁发机构的证书对比一下,发现两个证是的序列号不一样。
    请问要怎么解决这个问题?
    我试过在IIS上面更改证书,但是显示都是跟证书颁发机构上的根证书不一样。

    2009年8月18日 7:53

答案

  • 五.服务器证书的申请

    1.以IIS的默认站为例,先右击站点,打开网站属性-->目录安全性-->服务器证书


    2.
    按IIS证书向导 一步步 提交服务器证书申请



    六。服务器证书的颁发
    1.先打开"证书颁发机构",提交刚才的申请

    选择刚才的c:\certreq.txt

    按提示一步步完成
    2.颁发证书
    在挂起的申请里,可以看到刚才的申请(本例ID为5),右击-->颁发

    3.导出证书
    在颁发的证书里,可以看到多了个证书,在新颁发的服务器证书上右击-->打开

    切换到"详细信息",单击"复制到文件",将该证书导出为cer文件

    七。IIS中服务器证书/SSL的设置

    1。还是先打开网站属性,切换到"目录安全性",点击"服务器证书"

    2.安装服务器证书

    选择刚才导出的cer文件

    然后一路下一步,直到完成.

    3.设置SSL

    有了服务器证书后,IIS的相关站点,可以改用https://来访问,还是打开网站属性-->目录安全性-->安全通信-->编辑

    把"要求安全通知(SSL)"选中,确定即可

    这里,如果我们再访问http://localhost/CertSrv/default.asp,会提示以下错误:

    这里必须把http://换成https://来访问,即https://localhost/CertSrv/default.asp,如果是IE7,会提示证书错误,如下图:

    先不管这个错误(马上会说到如何处理),点击"继续浏览网站(不推荐)"即可正常访问
    最后来分析一下,为什么会有这个证书错误,强行浏览这个页面后,会发现地址栏是红色的,我们点击地址栏右侧的"证书错误"-->“查看证书"

    观察一下会发现,刚才我们申请的服务器证书,在颁发证书时,默认是颁发给计算机名,本例中也就是jimmycntvs这台计算机的,而我们现在用localhost来访问,服务器会认为localhost与jimmycntvs不是同一台机器,因此觉得不安全!

    既然知道原因了,也就能解决了,我们把访问地址换成https://jimmycntvs/certsrv/default.asp (即把localhost换成jimmycntvs),这回IE就认为访问地址与证书中的信息对上号了,也就没有提示了,呵呵

    好了,截了这么多图,并一一贴上去,也够累了,希望对大家有用


    welcome to the earth
    • 已标记为答案 emma.yoyo 2009年8月24日 2:09
    • 取消答案标记 emma.yoyo 2009年8月24日 2:11
    • 已标记为答案 emma.yoyo 2009年8月26日 1:51
    2009年8月21日 7:57
  • 首先感谢pcdog这么多的贴图,以及如何对使用SSL加密进行了详细的解答。
    Barney83,您可以参考PCDOG的SSL部署进行OWA的部署。建议您在申请证书的过程中在“站点公用名称”中使用您在DNS中注册的DNS名,本例中应该是mail.domain.com
    还有微软不推荐在DC上安装exchange server。所以在本例中证书比较多,容易混搅。建议申请证书后记下证书的申请时间,使用证书时也可以根据时间来判断。
    还有您说的两个证书不一样 1:所有发布策略2:所有应用程序策略  该证书是根证书,可以基于该证书颁发其他用户的证书
    保证远程计算机的身份  该证书是实现某一目的由根证书颁发的证书,本例中是实现SSL的证书。
    猜想您很有可能是使用的是NETBIOS名申请的证书而导致证书的错误。

    顺便说一句,该帖子是否是RPC OVER HTTP故障排除的后续?
    Frank Wang 王锋
    • 已标记为答案 emma.yoyo 2009年8月26日 1:51
    2009年8月24日 2:42

全部回复

  • 我还发现证书颁发机构上的证书上写着如下作用1:所有发布策略2:所有应用程序策略
    但在IIS上面的证书写着:保证远程计算机的身份。
    两个证书不是同一个证书。

    2009年8月18日 8:09
  • 在OWA中访问时证书的错误是什么?是过期还只是不信任证书?若是不信任点击安装后是不是就没有了问题?根证书和IIS使用的服务器证书本来就是不一样。加入到域中的exchange服务器会根据策略自动安装根证书。 IIS里面使用的证书是根据exchange的DNS名进行申请后安装上去的。可以参考微软技术库
    如何使用 SSL 保护客户端邮件应用程序与 Exchange 前端服务器之间的通信安全
    http://technet.microsoft.com/zh-cn/library/bb123613(EXCHG.65).aspx
    进行确认

    顺便说一句,申请证书时输入的http://mail.domain.com/certsrv ,那是不是表明证书服务器不是安装在DC上而是装在exchange上?

    Frank Wang 王锋
    2009年8月18日 8:54
  • DC,证书服务器和exchange是在同一台服务器上。
    用OWA访问邮箱时会显示证书不任信错误,而且点击查看安装该证书到受信任的颁发机构后在IE上的属性查看并没有在上面。
    只有用http://mail.domain.com/certsrv安装证书才会导到任信的证书颁发机构上,但是用ie8访问OWA模式还是显示证书不任信错误。

    2009年8月18日 12:25
  • 您好,最好还是把访问邮箱时显示证书不信任错误的截屏传上来。还有把点击查看该证书中的常规信息和证书路径的屏幕也截个屏发上来。
    建议参考微软文档并了解基本信息 http://technet.microsoft.com/zh-cn/library/bb123456(EXCHG.65).aspx
    Frank Wang 王锋
    2009年8月21日 7:46
  • 五.服务器证书的申请

    1.以IIS的默认站为例,先右击站点,打开网站属性-->目录安全性-->服务器证书


    2.
    按IIS证书向导 一步步 提交服务器证书申请



    六。服务器证书的颁发
    1.先打开"证书颁发机构",提交刚才的申请

    选择刚才的c:\certreq.txt

    按提示一步步完成
    2.颁发证书
    在挂起的申请里,可以看到刚才的申请(本例ID为5),右击-->颁发

    3.导出证书
    在颁发的证书里,可以看到多了个证书,在新颁发的服务器证书上右击-->打开

    切换到"详细信息",单击"复制到文件",将该证书导出为cer文件

    七。IIS中服务器证书/SSL的设置

    1。还是先打开网站属性,切换到"目录安全性",点击"服务器证书"

    2.安装服务器证书

    选择刚才导出的cer文件

    然后一路下一步,直到完成.

    3.设置SSL

    有了服务器证书后,IIS的相关站点,可以改用https://来访问,还是打开网站属性-->目录安全性-->安全通信-->编辑

    把"要求安全通知(SSL)"选中,确定即可

    这里,如果我们再访问http://localhost/CertSrv/default.asp,会提示以下错误:

    这里必须把http://换成https://来访问,即https://localhost/CertSrv/default.asp,如果是IE7,会提示证书错误,如下图:

    先不管这个错误(马上会说到如何处理),点击"继续浏览网站(不推荐)"即可正常访问
    最后来分析一下,为什么会有这个证书错误,强行浏览这个页面后,会发现地址栏是红色的,我们点击地址栏右侧的"证书错误"-->“查看证书"

    观察一下会发现,刚才我们申请的服务器证书,在颁发证书时,默认是颁发给计算机名,本例中也就是jimmycntvs这台计算机的,而我们现在用localhost来访问,服务器会认为localhost与jimmycntvs不是同一台机器,因此觉得不安全!

    既然知道原因了,也就能解决了,我们把访问地址换成https://jimmycntvs/certsrv/default.asp (即把localhost换成jimmycntvs),这回IE就认为访问地址与证书中的信息对上号了,也就没有提示了,呵呵

    好了,截了这么多图,并一一贴上去,也够累了,希望对大家有用


    welcome to the earth
    • 已标记为答案 emma.yoyo 2009年8月24日 2:09
    • 取消答案标记 emma.yoyo 2009年8月24日 2:11
    • 已标记为答案 emma.yoyo 2009年8月26日 1:51
    2009年8月21日 7:57
  • 首先感谢pcdog这么多的贴图,以及如何对使用SSL加密进行了详细的解答。
    Barney83,您可以参考PCDOG的SSL部署进行OWA的部署。建议您在申请证书的过程中在“站点公用名称”中使用您在DNS中注册的DNS名,本例中应该是mail.domain.com
    还有微软不推荐在DC上安装exchange server。所以在本例中证书比较多,容易混搅。建议申请证书后记下证书的申请时间,使用证书时也可以根据时间来判断。
    还有您说的两个证书不一样 1:所有发布策略2:所有应用程序策略  该证书是根证书,可以基于该证书颁发其他用户的证书
    保证远程计算机的身份  该证书是实现某一目的由根证书颁发的证书,本例中是实现SSL的证书。
    猜想您很有可能是使用的是NETBIOS名申请的证书而导致证书的错误。

    顺便说一句,该帖子是否是RPC OVER HTTP故障排除的后续?
    Frank Wang 王锋
    • 已标记为答案 emma.yoyo 2009年8月26日 1:51
    2009年8月24日 2:42
  • 正需要这个
    按照做了
    成功了
    谢谢
    2009年8月26日 8:40