Come correggere gli errori di convalida del certificato

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-04-13

È possibile che vengano restituiti i seguenti errori nella console operatore se si utilizza Microsoft Operations Manager 2005 o System Center Operations Manager 2007 quando non è possibile convalidare un certificato. Gli errori possono anche essere restituiti come eventi del registro applicazioni. In questo argomento viene descritto come risolvere tali errori o vengono forniti i riferimenti alla documentazione che consente di risolvere gli errori di convalida del certificato.

Per ulteriori informazioni su come il servizio di trasporto di Microsoft Exchange seleziona i certificati per Transport Layer Security (TLS), vedere Selezione del certifcato TLS SMTP.

Errori di convalida del certificato o messaggi di stato

  • Il certificato è valido ma è autofirmato.   Questo errore è un messaggio di stato informativo. Per impostazione predefinita, il certificato installato con Microsoft Exchange Server 2007 è autofirmato. In genere si consiglia di utilizzare certificati provenienti da autorità di certificazione (CA) di terze parti affidabili.

    Per ulteriori informazioni, vedere Come abilitare l'infrastruttura a chiave pubblica (PKI) sul server Trasporto Edge per la protezione del dominio.

  • L'oggetto del certificato non corrisponde al valore passato.   Questo messaggio di stato indica che il nome di dominio sia nei campi del nome dell'oggetto che del nome oggetto alternativo del certificato non corrisponde al nome di dominio completo (FQDN) del nome di dominio del mittente o del destinatario. Per correggere l'errore, è necessario creare un nuovo certificato che corrisponda al nome di dominio completo (FQDN) del connettore di invio o di ricezione che ha tentato di convalidare il certificato.

    Per ulteriori informazioni, vedere Creazione di un certificato o di una richiesta di certificato per TLS

  • Non è possibile verificare la firma del certificato.   Questo messaggio di stato indica che il servizio trasporto di Microsoft Exchange non è stato in grado di convalidare la catena di certificati o che la chiave pubblica utilizzata per convalidare la firma del certificato non è la chiave corretta.

    Per ulteriori informazioni, vedere Domain Security in Exchange 2007 White Paper (informazioni in lingua inglese).

  • La catena di certificati è stata elaborata, ma è stata terminata in un certificato radice non attendibile per il provider di attendibilità.   Questo messaggio di stato indica che il certificato utilizzato per questa operazione non è considerato attendibile dall'archivio certificati del computer. Affinché il certificato venga considerato attendibile, l'autorità di certificazione radice per un determinato certificato deve essere presente nell'archivio certificati del computer.

    Per ulteriori informazioni sull'aggiunta manuale dei certificati nell'archivio di certificati locale, vedere il file della Guida per lo snap-in Gestione certificati in Microsoft Management Console (MMC).

  • Il certificato non è valido per l'utilizzo richiesto.   Questo messaggio di stato indica che è necessario abilitare il certificato all'uso nell'applicazione corrente. Ad esempio, se si cerca di utilizzare il certificato per la protezione del dominio, il certificato deve essere abilitato per il protocollo SMTP (Simple Mail Transfer Protocol).

    Per ulteriori informazioni sull'abilitazione dei certificati, vedere Enable-ExchangeCertificate.

    In alternativa, questo messaggio di stato può indicare che il certificato in uso non dispone dei dati corretti nel campo Utilizzo chiavi avanzato. Tutti i certificati che vengono utilizzati per Transport Layer Security (TLS) devono contenere un identificatore dell'oggetto autenticazione server (noto anche come OID, Object Identifier). Se si cerca di utilizzare un certificato per TLS che non contiene un identificatore dell'oggetto autenticazione server nel campo Utilizzo chiavi avanzato, è necessario creare un nuovo certificato.

    Per ulteriori informazioni, vedere Creazione di un certificato o di una richiesta di certificato per TLS.

  • Il certificato richiesto non rientra nel periodo di validità nel corso della verifica con il clock di sistema corrente o con il timestamp nel file firmato.   Questo messaggio di stato indica che l'ora di sistema non è corretta, che il certificato è scaduto o che l'ora del sistema che ha firmato il file non è corretta. Verificare che siano soddisfatte le seguenti condizioni:

    • L'orologio del computer locale è preciso.

    • Il certificato non è scaduto.

    • L'orologio del sistema di invio è preciso.

    Se il certificato è scaduto, è necessario generare un nuovo certificato.

    Per ulteriori informazioni, vedere Creazione di un certificato o di una richiesta di certificato per TLS.

  • I periodi di validità della catena di certificazione non sono nidificati correttamente.   Questo messaggio di stato indica che la catena di certificati è danneggiata o inaffidabile. Generare un nuovo certificato utilizzando il cmdlet New-ExchangeCertificate o contattare l'autorità di certificazione per convalidare la catena di certificati utilizzata per il certificato.

  • Un certificato che può essere utilizzato solo come entità finale viene utilizzato come autorità di certificazione o viceversa.   Questo messaggio di stato indica che il certificato non è valido perché è stato emesso come certificato con entità finale e non da un'autorità di certificazione. Un certificato con entità finale è un certificato che è stato creato per un utilizzo crittografico applicativo specifico. Generare un nuovo certificato utilizzando il cmdlet New-ExchangeCertificate o contattare l'autorità di certificazione per convalidare il certificato.

  • Il certificato o la firma è stato revocato.   Contattare l'autorità di certificazione per risolvere il problema.

  • Il certificato è stato esplicitamente revocato dall'autorità emittente.   Contattare l'autorità di certificazione per risolvere il problema.

  • Non è stato possibile eseguire il controllo della revoca perché il server di revoca non era in linea.   Questo messaggio di stato indica che non è stato possibile raggiungere il server di revoca del certificato. In alcuni casi, si tratta di un errore temporaneo a causa del malfunzionamento del server di revoca. In alternativa, assicurarsi che il computer possa accedere al server di revoca. Se esiste un firewall o un server proxy tra il computer e il server di revoca, assicurarsi che il computer sia configurato per superare l'ostacolo.

    Per ulteriori informazioni, vedere Come abilitare l'infrastruttura a chiave pubblica (PKI) sul server Trasporto Edge per la protezione del dominio.

  • Impossibile continuare il processo di revoca. Impossibile controllare i certificati.   Questo messaggio di stato indica che il processo di revoca è stato interrotto a causa di un errore di rete generale. Se esiste un firewall o un server proxy tra il computer e il server di revoca, assicurarsi che il computer sia configurato per superare l'ostacolo.

    Per ulteriori informazioni, vedere Come abilitare l'infrastruttura a chiave pubblica (PKI) sul server Trasporto Edge per la protezione del dominio.