Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2009-12-02

В этом разделе описаны способы устранения ошибок проверки сертификата или приводятся ссылки на документы, содержащие сведения об устранении этих ошибок.

Дополнительные сведения о том, как служба транспорта Microsoft Exchange выбирает сертификаты для протокола TLS, см. в следующих разделах:

Ошибки проверки сертификата или сообщения о состоянии

Сертификат действителен, но он является самозаверяющим.

Это информационное сообщение об ошибке. По умолчанию сертификат, устанавливаемый для Exchange Server 2010, является самозаверяющим. Рекомендуется использовать сертификаты доверенных сторонних центров сертификации.

Дополнительные сведения см. в разделе Включение инфраструктуры открытых ключей на пограничном транспортном сервере для безопасности домена.

Субъект сертификата не соответствует переданному значению.

Это сообщение о состоянии указывает, что имя домена в полях имени субъекта или дополнительного имени субъекта сертификата не соответствует FQDN отправителя или имени домена получателя. Чтобы исправить эту ошибку, необходимо создать новый сертификат, соответствующий полному доменному имени соединителя оправки или приема, который пытается проверить этот сертификат.

Дополнительные сведения см. в разделе Общие сведения о сертификатах TLS.

Не удалось проверить подпись сертификата.

Это сообщение о состоянии указывает, что службе транспорта Microsoft Exchange не удалось проверить цепочку сертификатов или что для проверки подписи сертификата использовался неправильный открытый ключ.

Цепочка сертификатов обработана, но она заканчивается корневым сертификатом, которому не доверяет поставщик доверия.

Это сообщение о состоянии указывает, что хранилище сертификатов компьютера не доверяет сертификату, используемому для этой операции. Чтобы данный сертификат был доверенным, необходимо, чтобы в хранилище сертификатов данного компьютера присутствовал его корневой центр сертификации.

Дополнительные сведения о добавлении сертификатов в локальное хранилище сертификатов вручную см. в файле справки для оснастки диспетчера сертификатов в консоли управления Microsoft (MMC).

Сертификат недействителен для запрошенного использования.

Это сообщение о состоянии указывает, что необходимо включить сертификат для использования в текущем приложении. Например, чтобы использовать этот сертификат для безопасности домена, необходимо включить сертификат для протокола SMTP.

Дополнительные сведения о включении сертификатов см. в разделе Enable-ExchangeCertificate.

Кроме того, это сообщение о состоянии может указывать, что поле «Расширенное использовании ключа» для используемого сертификата содержит неправильные данные. Все сертификаты, используемые для протокола TLS, должны содержать идентификатор объекта проверки подлинности сервера (также называется идентификатором объекта). Чтобы использовать для протокола TLS сертификат, не содержащий в поле «Расширенное использовании ключа» идентификатор объекта проверки подлинности сервера, необходимо создать новый сертификат.

Дополнительные сведения см. в разделе Общие сведения о сертификатах TLS.

При проверке необходимого сертификата по системным часам или отметке времени в подписанном файле его срок действия оказывается истекшим.

Это сообщение о состоянии указывает, что системное время установлено неправильно, срок действия сертификата истек или в системе, подписавшей файл, установлено неправильное время. Проверьте, выполнены ли следующие условия:

  • часы на локальном компьютере показывают точное время;

  • срок действия сертификата не истек;

  • часы в отправляющей системе показывают точное время.

Если срок действия сертификата истек, необходимо создать новый сертификат.

Дополнительные сведения см. в разделе Общие сведения о сертификатах TLS.

Сроки действия цепочки сертификатов вложены неправильно.

Это сообщение о состоянии указывает, что цепочка сертификатов повреждена или является ненадежной. Создайте с помощью командлета New-ExchangeCertificate новый сертификат либо свяжитесь с центром сертификации, чтобы проверить цепочку сертификатов, использованную для данного сертификата.

Сертификат, который может применяться только как конечный субъект, используется в качестве центра сертификации или наоборот.

Это сообщение о состоянии указывает, что сертификат недействителен, так как он выпущен сертификатом конечного субъекта, а не центром сертификации. Сертификат конечного субъекта — это сертификат, созданный для криптографического использования в определенном приложении. Создайте с помощью командлета New-ExchangeCertificate новый сертификат либо свяжитесь с центром сертификации, чтобы проверить сертификат.

Сертификат или подпись отозваны.

Обратитесь в центр сертификации, чтобы устранить эту неполадку.

Сертификат явно отозван его поставщиком.

Обратитесь в центр сертификации, чтобы устранить эту неполадку.

Не удалось проверить отзыв с помощью функции отзыва, так как сервер отзыва сертификатов работал в автономном режиме.

Это сообщение о состоянии указывает, что сервер отзыва для сертификата недоступен. В некоторых случаях эта ошибка является временной и связанной с тем, что сервер отзыва сертификатов функционирует неверно. В противном случае убедитесь в том, что компьютер имеет доступ к серверу отзыва сертификатов. Если между компьютером и сервером отзыва сертификатов находится брандмауэр или прокси-сервер, убедитесь в том, что компьютер настроен соответствующим образом.

Дополнительные сведения см. в разделе Включение инфраструктуры открытых ключей на пограничном транспортном сервере для безопасности домена.

Не удалось продолжить процесс отзыва. Не удалось проверить сертификаты.

Это сообщение о состоянии указывает, что процесс отзыва прерван из-за общей ошибки сети. Если между компьютером и сервером отзыва сертификатов находится брандмауэр или прокси-сервер, убедитесь в том, что компьютер настроен соответствующим образом.

Дополнительные сведения см. в разделе Включение инфраструктуры открытых ключей на пограничном транспортном сервере для безопасности домена.