none
Exchange2007外网WEB无法登录,页面提示:证书链是由不受信任的颁发机构颁发的 RRS feed

  • 问题

  • 我还是把整个问题的根源都描述一下,以方便在线的专业大虾们分析,更准确的求助各位大虾:

    服务器系统:Microsoft windows server 2003 R2 standard  x64Edition SP2

    邮件服务器:Exchange 2007

    故障描述:outlook正常,内网<同一个外网IP>WEB登录正常。外网<不同的外网IP>无法登录,页面提示:“证书链是由不受信任的颁发机构颁发的”

    故障起因:2013-10-20,发现我们单位的outlook登录时会提醒证书过期,但是不影响收发。但是WEB内外网都无法打开,提示证书过期。

    处理方法:

    在服务器上打开”Exchange 命令行管理程序,我看说明书,就是cmdlet

    执行命令: 查看本地证书存储中的证书

    Get-ExchangeCertificate | List    显示如下:(其中证书很多,我只COPY了那个过期的证书)

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                         .Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {gzjjhotels-mail.ganzhou.jinjianghotels.com, mail.ganzhou.
                         jinjianghotels.com}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=ganzhou.jinjianghotels.com, DC=ganzhou, DC=jinjianghote
                         ls, DC=com
    NotAfter           : 2013-10-19 13:16:15
    NotBefore          : 2011-10-20 13:16:15
    PublicKeySize      : 2048
    RootCAType         : Enterprise
    SerialNumber       : 784466B10000000000A5
    Services           : IMAP, POP, IIS
    Status             : DateInvalid
    Subject            : CN=gzjjhotels-mail.ganzhou.jinjianghotels.com
    Thumbprint         : 2B463D4D38CE09C3E8A3F1CB2FE413225923B9DA

    通过这些信息确认是因为这个证书过期导致我现在遇到的问题。

    通过上网学习和说明书学习。找到如下方法处理:

    Cmdlet下执行命令:

    Remove-ExchangeCertificate -Thumbprint 2B463D4D38CE09C3E8A3F1CB2FE413225923B9DA

    New-ExchangeCertificate –DomainName "gzjjhotels-mail.ganzhou.jinjianghotels.com", "mail.ganzhou.jinjianghotels.com" -PrivateKeyExportable $true -Services "IMAP,POP,IIS" -SubjectName cn=gzjjhotels-mail.ganzhou.jinjianghotels.com

    Enable-ExchangeCertificate -Thumbprint C12FA2F58E693FFE2D01BAAE40F184C2D43DA238 -Services "IMAP,POP,IIS"

    分别完成删除旧的证书、新建新的证书、启用新的证书 三步操作。

    Cmdlet下执行命令:查看本地证书存储中的证书

    Get-ExchangeCertificate | List    显示如下:

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                         .Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {gzjjhotels-mail.ganzhou.jinjianghotels.com, mail.ganzhou.
                         jinjianghotels.com}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=gzjjhotels-mail.ganzhou.jinjianghotels.com
    NotAfter           : 2018-10-23 10:53:23
    NotBefore          : 2013-10-23 10:53:23
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 4D830FD5FCD953B74568AEF710623EBD
    Services           : IMAP, POP, IIS
    Status             : Valid
    Subject            : CN=gzjjhotels-mail.ganzhou.jinjianghotels.com
    Thumbprint         : C12FA2F58E693FFE2D01BAAE40F184C2D43DA238

    处理后故障描述:outlook正常,内网<同一个外网IP>WEB登录正常,外网<不同的外网IP>无法登录,页面提示:“证书链是由不受信任的颁发机构颁发的”<在第一段有相同描述>

    求助问题:如何操作才能让外网正常登录?请各位大虾、电脑高手、大哥、大姐教教,或者指点小弟一个求助方向。再次感谢!

    个人说明:本人用的是自签名证书,我求助的问题也是针对自签名证书使用的处理方法!

    2013年10月24日 6:08

答案

  • 您好!

    1. 对于从外网访问你的邮箱时,你需要申请ssl证书,或者使用第三方证书,不能使用自签名证书

    2.如果你通过outlook anywhere访问你的邮箱的话,你的证书名需包括autodiscover名字,还有公网域名的FQDN。(如:mail.contoso.com),若是通过Owa从外网访问你的邮箱,你的证书名之需包括你的公网域名的FQDN

    3.你的证书必须是由客户端操作系统信任的Ca颁发的证书,也就是当你从服务器上申请好证书后,你需要导入该证书到客户端操作系统信任的CA下。首先你需要将你申请好的证书copy到客户端上,然后在客户端上打开Mmc,然后点击file选项,在该选项下添加/移除插件,选择证书并添加,选择computer账号,点击下一步,选择完成。

    如果你要了解自谦证书的话,以下文章供你参考。

    了解 Exchange 2007 中的自签名证书

    http://technet.microsoft.com/zh-cn/library/bb851554(v=exchg.80).aspx



    微软一站式示例脚本库: http://blogs.technet.com/b/onescript



    • 已编辑 cara chen 2013年10月28日 3:25 edit
    • 已标记为答案 cara chen 2013年10月31日 1:38
    2013年10月25日 1:17
  • 您好!

    1.你可以通过get-exchangecertificate | fl命令查看你的证书,你可以通过查看subject来确定你的证书是否包含公网域名的FQDN。

    2.如果你的证书没有包括你的公网域名,你需要申请新的证书。

    3.根据我上面的回复,你还需要确保你的证书是ssl证书,而不是自签名证书,从你的证书来看,你使用的是自签名证书。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    • 已标记为答案 cara chen 2013年10月31日 1:38
    2013年10月28日 3:25

全部回复

  • 您好!

    1. 对于从外网访问你的邮箱时,你需要申请ssl证书,或者使用第三方证书,不能使用自签名证书

    2.如果你通过outlook anywhere访问你的邮箱的话,你的证书名需包括autodiscover名字,还有公网域名的FQDN。(如:mail.contoso.com),若是通过Owa从外网访问你的邮箱,你的证书名之需包括你的公网域名的FQDN

    3.你的证书必须是由客户端操作系统信任的Ca颁发的证书,也就是当你从服务器上申请好证书后,你需要导入该证书到客户端操作系统信任的CA下。首先你需要将你申请好的证书copy到客户端上,然后在客户端上打开Mmc,然后点击file选项,在该选项下添加/移除插件,选择证书并添加,选择computer账号,点击下一步,选择完成。

    如果你要了解自谦证书的话,以下文章供你参考。

    了解 Exchange 2007 中的自签名证书

    http://technet.microsoft.com/zh-cn/library/bb851554(v=exchg.80).aspx



    微软一站式示例脚本库: http://blogs.technet.com/b/onescript



    • 已编辑 cara chen 2013年10月28日 3:25 edit
    • 已标记为答案 cara chen 2013年10月31日 1:38
    2013年10月25日 1:17
  • 感谢你的解答。

    请问如何确认“证书名字包括在我的公网域名的FQDN"中????

    通过命令Get-ExchangeCertificate | List 查看证书,那个是我的证书名字???

    如果我的证书名字没有包括在我的公网域名的FQDN中,该如何操作将我的证书名字加入进去???

    2013年10月26日 2:58
  • 您好!

    1.你可以通过get-exchangecertificate | fl命令查看你的证书,你可以通过查看subject来确定你的证书是否包含公网域名的FQDN。

    2.如果你的证书没有包括你的公网域名,你需要申请新的证书。

    3.根据我上面的回复,你还需要确保你的证书是ssl证书,而不是自签名证书,从你的证书来看,你使用的是自签名证书。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    • 已标记为答案 cara chen 2013年10月31日 1:38
    2013年10月28日 3:25