Cómo solucionar el error 12014 del certificado STARTTLS

  • Artículo

 

Se aplica a: Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-05-23

En este tema se explica cómo solucionar el evento 12014. El evento 12014 es una advertencia que indica que se ha producido un problema al cargar el certificado que se iba a utilizar para STARTTLS. Por lo general, este problema se produce si se cumple alguna de las condiciones siguientes:

  • El nombre de dominio completo (FQDN) especificado en el evento de advertencia se ha definido en un conector de recepción o envío de un servidor de transporte de Microsoft Exchange Server 2007. Además, no hay ningún certificado instalado en el mismo equipo que contenga el FQDN en los campos Asunto o Nombre alternativo de asunto.

  • Se ha instalado un certificado personalizado o de otro fabricante en el servidor y este certificado contiene un FQDN coincidente. No obstante, el certificado no está habilitado para el servicio del protocolo simple de transferencia de correo (SMTP).

La funcionalidad TLS requiere que haya un certificado válido instalado en el almacén de certificados personales del equipo.

Antes de empezar

Para realizar este procedimiento, la cuenta que utilice debe tener delegada la siguiente función:

  • La función Administrador de Exchange con permiso de vista para ejecutar el cmdlet Get-ExchangeCertificate

  • La función Administrador de Exchange Server y el grupo local de administradores del servidor de destino para ejecutar el cmdlet New-ExchangeCertificate o el cmdlet Enable-ExchangeCertificate

Para ejecutar alguno de los siguientes cmdlet en un equipo que tenga instalada la función del servidor Transporte perimetral, debe iniciar sesión mediante una cuenta que sea miembro del grupo local de administradores de dicho equipo.

Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange 2007, consulte Consideraciones sobre permisos.

Procedimiento

Para solucionar este evento de advertencia

  1. Examine la configuración de los certificados instalados en el servidor de Exchange y de todos los conectores de recepción y envío instalados en el servidor. Utilice los comandos siguientes para ver la configuración:

    Get-ExchangeCertificate | FL *
Get-ReceiveConnector | FL name, fqdn, objectClass
Get-SendConnector | FL name, fqdn, objectClass

    Nota

    Para ver los servicios que están habilitados para el certificado instalado, debe utilizar el asterisco () cuando ejecute el argumento FL en el cmdlet Get-ExchangeCertificate. Si no se especifica en los parámetros de la tarea, no se mostrarán los valores de los servicios.

    Ejecute los comandos y compare el FQDN que se devuelve con el evento de advertencia con el FQDN definido en cada conector y con los valores de CertificateDomains definidos en cada certificado. El valor de CertificateDomains es una concatenación de los campos Asunto y Nombre alternativo de asunto en el certificado.

    El objetivo consiste en comprobar que todos los conectores que utilizan TLS tienen un certificado correspondiente que incluye el FQDN del conector en los valores de CertificateDomains del certificado. Fíjese en los conectores que estén habilitados para TLS pero no tengan un certificado correspondiente donde el FQDN del conector se encuentre en los valores de CertificateDomains del certificado.

    Inspeccione el valor Services de cada certificado. Si utiliza un certificado para TLS, debe estar habilitado para el servicio SMTP que utiliza un valor Services de SMTP.

  2. Si el FQDN no se incluye en el parámetro CertificateDomains, debe crear un certificado nuevo y especificar el FQDN del conector que se devuelve en este mensaje de advertencia. Puede crear el certificado utilizando el cmdlet New-ExchangeCertificate. Si lo prefiere, utilice un certificado personalizado o de otro fabricante. Puede utilizar el cmdlet New-ExchangeCertificate para generar la solicitud de certificado. Para obtener más información, consulte Creación de un certificado o de una solicitud de certificado para TLS.

  3. Si se ha instalado un certificado personalizado o de otro fabricante en el servidor y el certificado contiene un FQDN coincidente pero no está habilitado para el servicio SMTP, debe habilitar el certificado para el servicio SMTP. Para obtener más información, consulte Enable-ExchangeCertificate.

Información adicional

Para obtener más información al respecto, consulte los siguientes temas: