Procédure de dépannage d'erreur de certificat STARTTLS 12014
S’applique à : Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-05-23
Cette rubrique décrit le dépannage de l'événement 12014. L'événement 12014 est un événement d'avertissement qui indique qu'un problème s'est produit lors du chargement d'un certificat à utiliser pour STARTTLS. Généralement, ce problème se produit si au moins l'une des conditions suivantes est remplie :
Le nom de domaine complet spécifié dans l'événement d'avertissement a été défini pour un connecteur de réception ou un connecteur d'envoi sur un serveur de transport Microsoft Exchange Server 2007. De même, aucun certificat n'est installé sur l'ordinateur, qui contienne le nom de domaine complet dans les champs Objet ou Autre nom de l'objet.
Un certificat tiers ou personnalisé a été installé sur le serveur. Et ce certificat contient un nom de domaine complet correspondant. Toutefois, le certificat n'est pas activé pour le service SMTP (Simple Mail Transfer Protocol).
La fonctionnalité TLS (Transport Layer Security) requiert l'installation d'un certificat valide dans le magasin de certificats personnels de l'ordinateur.
Avant de commencer
Pour exécuter cette procédure, vous devez utiliser un compte auquel a été délégué :
le rôle Administrateurs Exchange - Affichage seul pour exécuter la cmdlet Get-ExchangeCertificate ;
le rôle Administrateur de serveur Exchange et le groupe Administrateurs local pour le serveur cible pour exécuter la cmdlet New-ExchangeCertificate ou la cmdlet Enable-ExchangeCertificate.
Pour exécuter une de ces cmdlets sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.
Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange 2007, consultez la rubrique Considérations relatives aux autorisations.
Procédure
Résolution de cet événement d'avertissement
Examinez la configuration des certificats installés sur le serveur Exchange et la configuration de tous les connecteurs de réception et d'envoi installés sur le serveur. Pour afficher la configuration, utilisez les commandes suivantes :
Get-ExchangeCertificate | FL * Get-ReceiveConnector | FL name, fqdn, objectClass Get-SendConnector | FL name, fqdn, objectClassNotes
Pour afficher les services activés pour le certificat installé, vous devez utiliser l'astérisque (
) lors de l'exécution de l'argumentFLsur la cmdlet Get-ExchangeCertificate. Les valeurs de service ne s'affichent pas si le symbolen'est pas spécifié dans les paramètres de tâche.Exécutez les commandes et comparez le nom de domaine complet renvoyé avec l'événement d'avertissement au nom de domaine complet défini pour chaque connecteur, et aux valeurs CertificateDomains définies pour chaque certificat. La valeur CertificateDomains est une concaténation des champs Objet et Autre nom de l'objet du certificat.
Le but est de vérifier que chaque connecteur utilisant un chiffrement TLS a un certificat correspondant, qui inclut le nom de domaine complet du connecteur dans les valeurs CertificateDomains du certificat. Notez tous les connecteurs activés pour le chiffrement TLS mais qui n'ont pas de certificat correspondant où le nom de domaine complet du connecteur figure dans les valeurs CertificateDomains du certificat.
Examinez les valeurs Services de chaque certificat. Si vous utilisez un certificat pour le chiffrement TLS, il doit être activé pour le service SMTP qui utilise une valeur Services de
SMTP.Si le nom de domaine complet ne figure pas dans le paramètre CertificateDomains, vous devez créer un certificat et spécifier le nom de domaine complet du connecteur qui est renvoyé dans ce message d'avertissement. La cmdlet New-ExchangeCertificate permet de créer le certificat. Vous pouvez également préférer utiliser un certificat tiers ou personnalisé. La cmdlet New-ExchangeCertificate permet de générer la demande de certificat. Pour plus d'informations, consultez la rubrique Création d’un certificat ou demande de certificat pour TLS.
Si un certificat tiers ou personnalisé a été installé sur le serveur, qui contient un nom de domaine complet correspondant mais qui n'est pas activé pour le service SMTP, vous devez l'activer pour ce service. Pour plus d'informations, consultez la rubrique Enable-ExchangeCertificate.
Pour plus d'informations
Pour plus d'informations, consultez les rubriques suivantes :