Microsoft Exchange не удается найти сертификат, содержащий имя домена %1, в хранилище личных сертификатов на локальном компьютере, поэтому он не поддерживает команду STARTTLS SMTP для соединителя %2 с полным доменным именем %1. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленных сертификатов, чтобы убедиться, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните командлет Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.

Подробности
Продукт: Exchange
Идентификатор: 12014
Источник: MSExchangeTransport
Версия: 8.0
Символьное имя: CannotLoadSTARTTLSCertificateFromStore
Сообщение: Microsoft Exchange не удается найти сертификат, содержащий имя домена %1, в хранилище личных сертификатов на локальном компьютере, поэтому он не поддерживает команду STARTTLS SMTP для соединителя %2 с полным доменным именем %1. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленных сертификатов, чтобы убедиться, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните командлет Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.
   
Объяснение

Это событие состояния “предупреждение” означает, что возникла проблема при загрузке сертификата, используемого для целей STARTTLS. Обычно эта проблема возникает, когда выполняется одно или оба из следующих условий.

  • Полное доменное имя, указанное в событии состояния “предупреждение”, было определено на соединителе приема или соединителе отправки на транспортном сервере Microsoft Exchange Server 2007, а на компьютере, содержащем полное доменное имя в полях “Субъект” или “Дополнительное имя субъекта”, не установлен сертификат.

  • Сертификат стороннего производителя или пользовательский сертификат был установлен на сервере, и он содержит соответствующее полное доменное имя. Однако этот сертификат не поддерживает службу SMTP.

Протокол TLS требует, чтобы допустимый сертификат был установлен в личном хранилище сертификатов на компьютере.

   
Действие пользователя

Для устранения данного предупреждения выполните следующие действия.

  1. Проверьте конфигурацию сертификатов, установленных на сервере Exchange и конфигурацию всех соединителей приема и соединителей отправки, установленных на сервере. Для просмотра конфигурации используются следующие команды.

    Get-ExchangeCertificate | FL *

    Get-ReceiveConnector | FL name, fqdn, objectClass

    Get-SendConnector | FL name, fqdn, objectClass

    Примечание.   Чтобы вывести список служб, включенных для установленного сертификата, используйте звездочку (*) при вводе аргумента FL в командлете Get-ExchangeCertificate. Значения атрибута Службы не будут отображаться, если не ввести звездочку (*) в параметрах задачи.

    Выполните команды и сравните полное доменное имя, возвращенное в событии состояния “предупреждение”, с полным доменных именем, указанным для каждого из соединителей и со значениями CertificateDomains, указанными в каждом из сертификатов. Значение CertificateDomains – это соединение полей “Субъект” и “Дополнительное имя субъекта” в сертификате.

    Целью является проверить, что каждый соединитель, использующий TLS, имеет соответствующий сертификат, включающий полное доменное имя соединителя в значениях CertificateDomains в сертификате. Обратите внимание на все соединители, использующие TLS, но не имеющие соответствующих сертификатов, в которых полное доменное имя соединителя находится среди значений CertificateDomains сертификата.

    Проверьте значение поля Службы в каждом сертификате. Если используется сертификат для TLS, в нем должна быть указана поддержка службы SMTP с помощью значения SMTP поля Службы.

  2. Если полное доменное имя не указано в параметре CertificateDomains, необходимо создать новые сертификат и указать полное доменное имя соединителя, возвращенное в предупреждающем сообщении. Создать сертификат можно с помощью командлета New-ExchangeCertificate. Или можно использовать сертификат, созданный сторонним производителем, или пользовательский сертификат. Для создания запроса на сертификат можно использовать командлет New-ExchangeCertificate. Дополнительные сведения см. в разделе Создание сертификата или запроса на сертификат для TLS.

  3. Если на сервере установлен сертификат стороннего производителя или пользовательский сертификат, содержащий совпадающее полное доменное имя, но сертификат не поддерживает службу SMTP, необходимо включить поддержку сертификатом службы SMTP. Дополнительные сведения см. в разделе Enable-ExchangeCertificate.

Related:

Leave a Reply