Como corrigir erros de validação de certificado

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-04-13

Os erros a seguir poderão ser retornados no Console do Operador se você estiver usando o Microsoft Operations Manager 2005 ou o System Center Operations Manager 2007 quando não for possível validar um certificado. Os erros também poderão ser retornados como eventos de log de Aplicativo. Este tópico explica como resolver esses erros ou indica documentações que podem ajudá-lo a resolver erros de validação de certificado.

Para obter mais informações sobre como o serviço de Transporte do Microsoft Exchange seleciona certificados para TLS (Transport Layer Security), consulte Seleção de certificado TLS SMTP.

Erros ou mensagens de status de validação de certificado

• **O certificado é válido, mas foi auto-assinado.**Este erro é uma mensagem de status informativa. Por padrão, o certificado instalado com o Microsoft Exchange Server 2007 é auto-assinado. Geralmente, é uma prática recomendada usar certificados de autoridades de certificação (CA) de terceiros confiáveis.

  Para obter mais informações, consulte Como habilitar PKI no servidor de Transporte de Borda para segurança de domínio.

• **O assunto do certificado não corresponde ao valor transmitido.**Esta mensagem de status indica que o nome de domínio nos campos de nome do assunto ou nome alternativo de assunto do certificado não correspondem ao nome de domínio totalmente qualificado (FQDN) do nome de domínio do remetente ou destinatário. Para corrigir esse erro, é necessário criar um novo certificado que corresponda ao FQDN do Conector de Envio ou de Recebimento que tentou validar esse certificado.

  Para obter mais informações, consulte Criando um certificado ou uma solicitação de certificado de TLS. 

• **Não é possível verificar a assinatura do certificado.**Esta mensagem de status indica que o serviço de Transporte do Microsoft Exchange não pôde validar a cadeia de certificados, ou que a chave pública usada para validar a assinatura do certificado não é a chave correta.

  Para obter mais informações, consulte Informe oficial de Segurança de Domínio no Exchange 2007 (página em inglês).

• **Uma cadeia de certificados foi processada, mas terminou com um certificado raiz que não é confiável para o provedor de confiança.**Esta mensagem de status indica que o certificado usado para esta operação não é confiável pelo armazenamento de certificados do computador. Para confiar nesse certificado, a autoridade de certificação raiz do certificado fornecido deve estar presente no armazenamento de certificados desse computador.

  Para obter mais informações sobre como adicionar manualmente certificados ao armazenamento local, consulte o arquivo da Ajuda relativo ao snap-in Gerenciador de Certificados do Console de Gerenciamento Microsoft (MMC).

• **O certificado não é válido para o uso solicitado.**Esta mensagem de status indica que você deve habilitar o certificado para ser usado com o aplicativo atual. Por exemplo, se você estiver tentando usar esse certificado para Segurança de Domínio, o certificado deverá estar habilitado para SMTP.

  Para obter mais informações sobre como habilitar certificados, consulte Enable-ExchangeCertificate.

  Como alternativa, esta mensagem de status pode indicar que o certificado que você está usando não possui os dados corretos no campo Uso Avançado de Chave. Todos os certificados usados para TLS devem conter um identificador de objeto de Autenticação de Servidor (também conhecido como OID). Se estiver tentando usar um certificado para TLS que não contenha um OID de Autenticação de Servidor no campo Uso Avançado de Chave, você deverá criar um novo certificado.

  Para obter mais informações, consulte Criando um certificado ou uma solicitação de certificado de TLS. 

• **Um certificado obrigatório não está dentro da validade se verificado em relação ao relógio atual do sistema ou ao carimbo de data e hora no arquivo assinado.**Esta mensagem de status indica que a hora do sistema está incorreta, o certificado expirou ou a hora do sistema que assinou o arquivo está incorreta. Verifique se as seguintes condições são verdadeiras:

  • O relógio local do computador está certo.

  • O certificado não expirou.

  • O relógio do sistema de envio está certo.

  Se o certificado tiver expirado, você deverá gerar um novo certificado.

  Para obter mais informações, consulte Criando um certificado ou uma solicitação de certificado de TLS. 

• **Os períodos de validade da cadeia de certificados não se aninham corretamente.**Esta mensagem de status indica que a cadeia de certificados está corrompida ou não é confiável por algum outro motivo. Gere um novo certificado com o cmdlet New-ExchangeCertificate ou entre em contato com sua autoridade de certificação para validar a cadeia de certificados usada para esse certificado.

• **Um certificado que só pode ser usado como uma entidade final está sendo usado como um CA ou vice-versa.**Esta mensagem de status indica que o certificado é inválido porque foi emitido por um certificado de entidade final e não por uma autoridade de certificação. Um certificado de entidade final é um certificado criado para uso criptográfico de um aplicativo específico. Gere um novo certificado com o cmdlet New-ExchangeCertificate ou entre em contato com sua autoridade de certificação para validar o certificado.

• **O certificado ou a assinatura foram revogados.**Entre em contato com sua autoridade de certificação para resolver este problema.

• **Um certificado foi revogado explicitamente por seu emitente.**Entre em contato com sua autoridade de certificação para resolver este problema.

• **A função de revogação não conseguiu verificar a revogação, porque o servidor de revogação estava offline.**Esta mensagem de status indica que o servidor de revogação do certificado não pôde ser alcançado. Em alguns casos, este erro é temporário, devido ao mau funcionamento do servidor de revogação. Caso contrário, verifique se esse computador pode acessar o servidor de revogação. Se houver um firewall ou servidor proxy entre este computador e o servidor de revogação, verifique se seu computador está configurado para superar o obstáculo.

  Para obter mais informações, consulte Como habilitar PKI no servidor de Transporte de Borda para segurança de domínio. 

• **Não foi possível continuar o processo de revogação. Os certificados não puderam ser verificados.**Esta mensagem de status indica que o processo de revogação foi interrompido por uma falha geral de rede. Se houver um firewall ou servidor proxy entre este computador e o servidor de revogação, verifique se seu computador está configurado para superar o obstáculo.

  Para obter mais informações, consulte Como habilitar PKI no servidor de Transporte de Borda para segurança de domínio.