Mancata corrispondenza principale del certificato

[L'obiettivo di questo argomento è risolvere un problema specifico correlato a Exchange Server Analyzer Tool. È applicabile solo ai sistemi su cui è stato eseguito Exchange Server Analyzer Tool e nei quali è stato riscontrato tale problema. Exchange Server Analyzer Tool, che può essere scaricato gratuitamente, raccoglie dati di configurazione in modalità remota da ogni server della topologia e li analizza in modo automatico. Nel rapporto che risulta dall'analisi vengono fornite informazioni dettagliate su importanti problemi di configurazione, problemi potenziali e impostazioni del prodotto non predefinite. I consigli forniti consentono di migliorare le prestazioni, la scalabilità, l'affidabilità e il tempo di attività. Per ulteriori informazioni sullo strumento o per scaricare le versioni aggiornate, vedere "Analizzatori di Microsoft Exchange" all'indirizzo https://go.microsoft.com/fwlink/?linkid=34707.]  

Ultima modifica dell'argomento: 2011-01-26

Microsoft Exchange Best Practices Analyzer Tool analizza l'elenco Domini accettati in Microsoft Exchange Server 2007 per recuperare gli URL dei domini SMTP accettati. Lo strumento prova a ottenere il certificato SSL associato al dominio specifico da ogni dominio SMTP accettato. Ogni certificato ottenuto viene analizzato dallo strumento per determinare il valore dell'attributo dell'entità sul certificato specifico. Il valore dell'attributo dell'entità rappresenta il nome comune (CN, Common Name) del certificato e viene visualizzato accanto a Rilasciato a sull'oggetto certificato.

Se il nome comune del certificato non corrisponde all'URL che Microsoft Exchange Best Practices Analyzer Tool ha utilizzato per accedere alla risorsa, lo strumento rilascia un messaggio di mancata corrispondenza dell'entità del certificato. Ciò significa che gli utenti potrebbero non essere in grado di connettersi alle proprie cassette postali utilizzando Microsoft Office Outlook® Web Access per Exchange Server 2003, Outlook via Internet per Exchange Server 2007, Exchange Server ActiveSync o RPC su HTTP.

In questo caso, all'utente potrebbero essere richieste ripetutamente le credenziali quando prova a connettersi a Exchange oppure potrebbe essere visualizzato il messaggio di errore seguente quando l'utente prova a connettersi alla risorsa di Exchange:

In presenza di una delle seguenti condizioni potrebbe verificarsi un errore di mancata corrispondenza dell'entità del certificato:

• Il certificato ha un nome comune errato.
• Il client prova ad accedere ai dati contenuti in un server utilizzando un URL errato se il server ha più nomi DNS.
• Nel server Exchange Transport esistono voci Domini accettati errate od obsolete.

Exchange richiede un certificato per eseguire un protocollo SSL, ad esempio HTTPS. È possibile utilizzare un certificato che supporta i nomi soggetto alternativi (SAN) in Exchange 2007. Questo consente al certificato di supportare le risorse che hanno nomi diversi, come Outlook via Internet e l'applicazione Web Autodiscover.

Tuttavia, quando si utilizza un certificato SAN, si riceve un errore di mancata corrispondenza dell'entità del certificato se si verifica una mancata corrispondenza del nome dell'entità ("Rilasciato a") e il nome di dominio completo (FQDN) che i client utilizzano per accedere alla risorsa.

Per risolvere la mancata corrispondenza del nome del certificato

1. Determinare il nome di dominio completo (FQDN) che il client utilizza per accedere alla risorsa. Ad esempio, per verificare il nome di dominio completo utilizzato da Outlook, eseguire la procedura seguente:

   1. Avviare Microsoft Outlook.
   2. Nel menu Strumenti fare clic su Impostazioni account.
   3. Fare clic sulla scheda Posta elettronica, quindi scegliere l'account Exchange, quindi selezionare Cambia.
   4. Scegliere Altre impostazioni, quindi fare clic sulla scheda Connessione.
   5. Scegliere Impostazioni proxy Exchange.
   6. Annotare il nome di dominio completo (FQDN) elencato nella casella Connetti solo a server proxy con il seguente nome entità nel certificato. Ad esempio, digitare mail.contoso.com.

2. Utilizzare Exchange Management Shell per determinare il valore dell'attributo CertPrincipalName come descritto di seguito:

3. Get-OutlookProvider

4. Il comando restituisce i risultati per il nome EXPR. Ad esempio, il comando restituisce il seguente messaggio: msstd:server1.contoso.com

5. Utilizzare Exchange Management Shell per modificare l'attributo CertPrincipalName e farlo corrispondere al nome di dominio completo (FQDN) che Outlook utilizza per accedere alla risorsa. A tale scopo, utilizzare la procedura seguente.

   Set-OutlookProvider EXPR -CertPrincipalName:"msstd:<FQDN the certificate is issued to>"
   

Questo errore può verificarsi anche quando Microsoft Exchange Best Practices Analyzer Tool rileva le voci dei domini accettati che si applicano a domini SMTP interni non più esistenti in Exchange.

Per risolvere il problema, è necessario eliminare i criteri del destinatario che si applicano a domini SMTP non più esistenti o utilizzati.

Per visualizzare i domini accettati in Exchange

1. Avviare Exchange Management Console.

2. Espandere Configurazione organizzazione, quindi scegliere il server di trasporto. Ad esempio, Trasporto Hub. Per un server Trasporto Edge, fare clic su Trasporto Edge.

3. Nel riquadro dei dettagli, fare clic sulla scheda Domini accettati. Analizzare le voci visualizzate nell'elenco Domini accettati per verificare se è necessario rimuoverne alcune.