В консоли оператора Microsoft Operations Manager 2005 или консоли управления System Center Operations Manager 2007 при невозможности проверить сертификат могут возникать описанные ниже ошибки. Ошибки также могут возвращаться в виде событий журнала приложений. В этом разделе описываются способы устранения этих ошибок либо приводятся ссылки на документы, которые позволяют устранить ошибки проверки сертификата.
Дополнительные сведения о том, как транспортная служба Microsoft Exchange выбирает сертификаты для протокола TLS, см. в разделе Выбор TLS-сертификата SMTP.
Ошибки проверки сертификата или сообщения о состоянии
- Сертификат является допустимым, но
самозаверяющим. Эта ошибка является информационным
сообщением о состоянии. По умолчанию сертификат, устанавливаемый с
Microsoft Exchange Server 2007, является самозаверяющим.
Обычно рекомендуется использовать сертификаты доверенных сторонних
центров сертификации.
Дополнительные сведения см. в разделе Инструкции по активизации инфраструктуры открытых ключей (PKI) на сервере «Граничный транспорт» для системы безопасности домена.
- Субъект сертификата не соответствует переданному
значению. Это сообщение о состоянии означает, что имя
домена в полях имени субъекта или дополнительного имени субъекта
сертификата не соответствует полному доменному имени отправителя
или имени домена получателя. Чтобы исправить эту ошибку, необходимо
создать новый сертификат, соответствующий полному доменному имени
соединителя оправки или приема, который пытается проверить этот
сертификат.
Дополнительные сведения см. в разделе Создание сертификата или запроса сертификата для TLS.
- Нельзя проверить подпись сертификата. Это сообщение
о состоянии означает, что службе транспорта Microsoft Exchange
не удалось проверить цепочку сертификатов либо для проверки подписи
сертификата использовался неправильный открытый ключ.
Дополнительные сведения см. в техническом документе Безопасность домена (на английском языке).
- Цепочка сертификатов обработана, но заканчивается корневым
сертификатом, которому не доверяет поставщик доверия. Это
сообщение о состоянии означает, что сертификат, используемый для
выполнения данной операции, не является доверенным для хранилища
сертификатов на компьютере. Чтобы данный сертификат был доверенным,
необходимо, чтобы в хранилище сертификатов данного компьютера
присутствовал его корневой центр сертификации.
Дополнительные сведения о добавлении сертификатов вручную в локальное хранилище сертификатов см. в файле справки для оснастки диспетчера сертификатов в консоли управления (MMC).
- Данный сертификат не подходит для такого
использования. Это сообщение о состоянии означает, что
необходимо включить сертификат для использования в текущем
приложении. Например, чтобы использовать данный сертификат для
безопасности домена, необходимо включить сертификат для протокола
SMTP.
Дополнительные сведения о включении сертификатов см. в разделе Enable-ExchangeCertificate.
Кроме того, данное сообщение о состоянии может означать, что поле «Улучшенный ключ» используемого сертификата содержит неверные данные. Все сертификаты, используемые для протокола TLS, должны содержать идентификатор объекта проверки подлинности сервера (также называется «идентификатором объекта»). Чтобы использовать для протокола TLS сертификат, не содержащий в поле «Улучшенный ключ» идентификатор объекта проверки подлинности сервера; необходимо создать новый сертификат.
Дополнительные сведения см. в разделе Создание сертификата или запроса сертификата для TLS.
- Истек/не наступил срок действия требуемого сертификата при
проверке по системным часам или по штампу времени в подписанном
файле. Это сообщение о состоянии означает, что в системе
установлено неправильное время, срок действия сертификата истек
либо в системе, подписавшей файл, установлено неправильное время.
Проверьте, выполнены ли следующие условия:
- часы на локальном компьютере показывают точное время;
- срок действия сертификата не истек;
- часы в отправляющей системе показывают точное время.
Дополнительные сведения см. в разделе Создание сертификата или запроса сертификата для TLS.
- часы на локальном компьютере показывают точное время;
- Периоды сроков действия цепочки сертификатов вложены
неверно. Это сообщение о состоянии означает, что цепочка
сертификатов повреждена или ненадежна по каким-либо другим
причинам. Создайте с помощью командлета New-ExchangeCertificate
новый сертификат либо свяжитесь с центром сертификации, чтобы
проверить цепочку сертификатов, использованную для данного
сертификата.
- Сертификат, который может использоваться только как конечный
субъект, используется как ЦС или наоборот. Это сообщение о
состоянии означает, что сертификат недопустим, поскольку он был
выпущен сертификатом конечного субъекта, а не центром сертификации.
Сертификат конечного субъекта — это сертификат, созданный для
криптографического использования в определенном приложении.
Создайте с помощью командлета New-ExchangeCertificate
новый сертификат либо свяжитесь с центром сертификации, чтобы
проверить сертификат.
- Сертификат или подпись отозваны. Чтобы устранить
эту проблему, свяжитесь с центром сертификации.
- Сертификат был отозван поставщиком этого
сертификата. Чтобы устранить эту проблему, свяжитесь с
центром сертификации.
- Невозможно проверить функцию отзыва, т. к. сервер
отзыва сертификатов недоступен. Это сообщение о состоянии
означает, что сервер отзыва сертификатов недоступен. В некоторых
случаях эта ошибка является временной и связанной с тем, что сервер
отзыва сертификатов функционирует неверно. В противном случае
убедитесь в том, что компьютер имеет доступ к серверу отзыва
сертификатов. Если между компьютером и сервером отзыва сертификатов
находится брандмауэр или прокси-сервер, убедитесь в том, что
компьютер настроен соответствующим образом.
Дополнительные сведения см. в разделе Инструкции по активизации инфраструктуры открытых ключей (PKI) на сервере «Граничный транспорт» для системы безопасности домена.
- Процесс отмены не может быть продолжен — проверка
сертификатов недоступна. Это сообщение о состоянии
означает, что процесс отзыва был прерван из-за общей ошибки сети.
Если между компьютером и сервером отзыва сертификатов находится
брандмауэр или прокси-сервер, убедитесь в том, что компьютер
настроен соответствующим образом.
Дополнительные сведения см. в разделе Инструкции по активизации инфраструктуры открытых ключей (PKI) на сервере «Граничный транспорт» для системы безопасности домена.