如何纠正证书验证错误
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-04-13
如果无法验证证书,可能会在操作员控制台(如果使用 Microsoft Operations Manager 2005)或操作控制台(如果使用 System Center Operations Manager 2007)中返回下列错误。也可能会以应用程序日志事件的形式返回这些错误。本主题将介绍纠正这些错误的方法或可能会帮助您纠正证书验证错误的文档。
有关 Microsoft Exchange 传输服务如何选择传输层安全性 (TLS) 证书的详细信息,请参阅 SMTP TLS 证书选择。
证书验证错误或状态消息
证书有效但属于自签名证书。 此错误是信息性状态消息。默认情况下,随 Microsoft Exchange Server 2007 安装的证书是自签名证书。通常,最佳做法是使用受信任的第三方证书颁发机构 (CA) 颁发的证书。
有关详细信息,请参阅如何启用边缘传输服务器上的 PKI 以确保域安全。
证书主题与传递的值不匹配。 此状态消息表明证书的主题名或主题备用名字段中的域名与发送连接器或接收连接器域名的完全限定的域名 (FQDN) 不匹配。若要纠正此错误,必须创建与尝试验证此证书的发送连接器或接收连接器的 FQDN 匹配的新证书。
有关详细信息,请参阅创建 TLS 证书或证书请求。
无法验证证书签名。 此状态消息表明 Microsoft Exchange 传输服务无法验证证书链,或用于验证证书签名的公钥不是正确的密钥。
有关详细信息,请参阅 Domain Security in Exchange 2007 White Paper。
证书链已处理,但是以信任提供程序不信任的根证书终止。 此状态消息表明计算机证书存储不信任用于此操作的证书。若要信任此证书,给定证书的根证书颁发机构必须存在于此计算机的证书存储中。
有关如何将证书手动添加到本地证书存储的详细信息,请参阅 Microsoft 管理控制台 (MMC) 中证书管理器管理单元的帮助文件。
证书对于所请求的用法无效。 此状态消息表明必须使证书可以在当前应用程序中使用。例如,如果尝试使用此证书实现域安全性,则必须为此证书启用简单邮件传输协议 (SMTP)。
有关如何启用证书的详细信息,请参阅 Enable-ExchangeCertificate。
此外,此状态消息可能表示您所使用的证书在“增强密钥用法”字段中没有正确的数据。用于传输层安全性 (TLS) 的所有证书必须包含服务器身份验证对象标识符(也称为 OID)。如果尝试对 TLS 使用在“增强密钥用法”字段中没有服务器身份验证 OID 的证书,必须新建证书。
有关详细信息,请参阅创建 TLS 证书或证书请求。
对已签名文件中的当前系统时钟或时间戳进行验证时,所需证书不在有效期内。 此状态消息表明系统时间不正确,证书已过期,或签署该文件的系统的时间不正确。验证是否符合下列条件:
本地计算机时钟是准确的。
证书尚未过期。
发送系统时钟是准确的。
如果证书已过期,则必须生成新证书。
有关详细信息,请参阅创建 TLS 证书或证书请求。
证书链的有效期未正确地嵌套。 此状态消息表明证书链已损坏或由于其他原因而不可靠。使用 New-ExchangeCertificate cmdlet 生成新证书,或与证书颁发机构联系,验证用于此证书的证书链。
只能作为最终实体使用的证书,正在作为 CA 使用或相反的情况。 此状态消息表明该证书由于是最终实体(而不是证书颁发机构)颁发的,所以无效。终端实体证书是为特定应用程序加密用法创建的证书。使用 New-ExchangeCertificate cmdlet 生成新证书,或与证书颁发机构联系来验证该证书。
证书或签名已被吊销。 请与证书颁发机构联系,以解决此问题。
证书已被颁发机构明确吊销。 请与证书颁发机构联系,以解决此问题。
由于吊销服务器已脱机,吊销功能无法核对吊销。 此状态消息表明无法访问证书的吊销服务器。在某些情况下,此错误是暂时性的,原因是吊销服务器出现故障。如果不是暂时性的,请确保此计算机可以访问吊销服务器。如果在此计算机与吊销服务器之间存在防火墙或代理服务器,请确保您的计算机配置为可以穿过该障碍。
有关详细信息,请参阅如何启用边缘传输服务器上的 PKI 以确保域安全。
吊销进程无法继续进行。无法核对证书。 此状态消息表明由于一般的网络故障而中断了吊销进程。如果在此计算机与吊销服务器之间存在防火墙或代理服务器,请确保您的计算机配置为可以穿过该障碍。
有关详细信息,请参阅如何启用边缘传输服务器上的 PKI 以确保域安全。