Problembehandlung bei Zertifikatüberprüfungsfehlern

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2012-07-23

In diesem Thema wird erläutert, wie Fehler bei der Zertifikatüberprüfung behoben werden können. Außerdem enthält es Verweise auf Dokumentation, die Sie ggf. beim Beheben von der Fehler unterstützen kann.

Weitere Informationen darüber, wie der Microsoft Exchange-Transportdienst Zertifikate für TSL (Transport Layer Security) auswählt, finden Sie in den folgenden Themen:

Zertifikatüberprüfungsfehler oder Statusmeldungen

Dieses Zertifikat ist gültig, jedoch selbstsigniert.

Dieser Fehler ist eine Statusmeldung zu Informationszwecken. Standardmäßig ist das Zertifikat, das mit Exchange Server 2010 installiert wird, selbstsigniert. Es ist im Allgemeinen eine bewährte Methode, Zertifikate von vertrauenswürdigen Zertifizierungsstellen von Drittanbietern zu verwenden.

Weitere Informationen finden Sie unter Verwenden einer PKI auf dem Edge-Transport-Server für Domänensicherheit.

Der Zertifikatantragsteller entspricht nicht dem übergebenen Wert.

Diese Statusmeldung zeigt an, dass der Domänenname in den Feldern für den Antragstellernamen oder alternativen Namen des Zertifikats nicht dem vollqualifizierten Domänennamen (FQDN) des Absender- oder Empfängerdomänennamens entspricht. Um diesen Fehler zu beheben, muss ein neues Zertifikat erstellt werden, das dem FQDN des Sende- oder Empfangsconnectors entspricht, der versucht hat, dieses Zertifikat zu überprüfen.

Weitere Informationen finden Sie unter Grundlegendes zu TLS-Zertifikaten.

Die Signatur des Zertifikats konnte nicht bestätigt werden.

Diese Statusmeldung zeigt an, dass der Microsoft Exchange-Transportdienst die Zertifikatkette nicht überprüfen konnte oder dass der zum Bestätigen der Zertifikatsignatur verwendete öffentliche Schlüssel nicht der richtige Schlüssel ist.

Eine Zertifikatkette wurde zwar verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauenswürdig gilt.

Diese Statusmeldung zeigt an, dass das für diesen Vorgang verwendete Zertifikat für den Zertifikatspeicher des Computers nicht als vertrauenswürdig gilt. Um diesem Zertifikat zu vertrauen, muss die Stammzertifizierungsstelle für das betreffende Zertifikat im Zertifikatspeicher für diesen Computer vorhanden sein.

Weitere Informationen zum manuellen Hinzufügen von Zertifikaten zum lokalen Zertifikatspeicher finden Sie in der Hilfedatei zum Zertifikat-Manager-Snap-In in der Microsoft Management Console (MMC).

Das Zertifikat ist für den angeforderten Zweck nicht zugelassen.

Diese Statusmeldung zeigt an, dass Sie das Zertifikat für die Verwendung in der aktuellen Anwendung aktivieren müssen. Wenn Sie z. B. versuchen, dieses Zertifikat für die Domänensicherheit zu verwenden, muss das Zertifikat für SMTP aktiviert sein.

Weitere Informationen zum Aktivieren von Zertifikaten finden Sie unter Enable-ExchangeCertificate.

Alternativ kann diese Statusmeldung auch anzeigen, dass das von Ihnen verwendete Zertifikat nicht die richtigen Daten im Feld "Erweiterte Schlüsselverwendung" aufweist. Alle Zertifikate, die für TLS verwendet werden, müssen einen Serverauthentifizierungs-Objektbezeichner (auch als OID bezeichnet) enthalten. Wenn Sie versuchen, ein Zertifikat für TLS zu verwenden, das keine Serverauthentifizierungs-OID im Feld "Erweiterte Schlüsselverwendung" enthält, müssen Sie ein neues Zertifikat erstellen.

Weitere Informationen finden Sie unter Grundlegendes zu TLS-Zertifikaten.

Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.

Diese Statusmeldung zeigt an, dass die Systemzeit falsch, das Zertifikat angelaufen oder der Zeitstempel des Systems, das die Datei signiert hat, falsch ist. Vergewissern Sie sich, dass die folgenden Bedingungen vorliegen:

  • Die Uhrzeit des lokalen Computers ist richtig.

  • Das Zertifikat ist nicht abgelaufen.

  • Die Uhrzeit des sendenden Systems ist richtig.

Wenn das Zertifikat angelaufen ist, müssen Sie ein neues Zertifikat generieren.

Weitere Informationen finden Sie unter Grundlegendes zu TLS-Zertifikaten.

Die Gültigkeitszeiträume der Zertifikatkette liegen nicht richtig.

Diese Statusmeldung zeigt an, dass die Zertifikatkette fehlerhaft oder anderweitig unzuverlässig ist. Generieren Sie mithilfe des Cmdlets New-ExchangeCertificate ein neues Zertifikat, oder wenden Sie sich an Ihre Zertifizierungsstelle, um die Zertifikatkette zu überprüfen, die für dieses Zertifikat verwendet wurde.

Ein Zertifikat, das nur als Endeinheit verwendet werden kann, wird als Zertifizierungsstelle (CA) verwendet oder umgekehrt.

Diese Statusmeldung zeigt an, dass das Zertifikat ungültig ist, weil es von einem Endeinheitszertifikat und nicht von einer Zertifizierungsstelle herausgegeben wurde. Ein Endeinheitszertifikat ist ein Zertifikat, das für besondere kryptografische Anwendungsverwendung erstellt wurde. Generieren Sie mithilfe des Cmdlets New-ExchangeCertificate ein neues Zertifikat, oder wenden Sie sich an Ihre Zertifizierungsstelle, um das Zertifikat zu überprüfen.

Das Zertifikat oder die Signatur wurde aufgehoben.

Wenden Sie sich an Ihre Zertifizierungsstelle, um dieses Problem zu beheben.

Ein Zertifikat wurde explizit durch den Aussteller gesperrt.

Wenden Sie sich an Ihre Zertifizierungsstelle, um dieses Problem zu beheben.

Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.

Diese Statusmeldung zeigt an, dass der Sperrserver für das Zertifikat nicht erreicht werden konnte. In einigen Fällen handelt es sich dabei um einen temporären Fehler, weil eine Fehlfunktion des Sperrservers vorliegt. Stellen Sie andernfalls sicher, dass dieser Computer auf den Sperrserver zugreifen kann. Wenn sich eine Firewall oder ein Proxyserver zwischen diesem Computer und dem Sperrserver befindet, stellen Sie sicher, dass Ihr Computer so konfiguriert ist, dass er das Hindernis überwinden kann.

Weitere Informationen finden Sie unter Verwenden einer PKI auf dem Edge-Transport-Server für Domänensicherheit.

Der Sperrvorgang konnte nicht fortgesetzt werden. Die Zertifikate konnten nicht überprüft werden.

Diese Statusmeldung zeigt an, dass der Sperrprozess durch einen allgemeinen Netzwerkfehler unterbrochen wurde. Wenn sich eine Firewall oder ein Proxyserver zwischen diesem Computer und dem Sperrserver befindet, stellen Sie sicher, dass Ihr Computer so konfiguriert ist, dass er das Hindernis überwinden kann.

Weitere Informationen finden Sie unter Verwenden einer PKI auf dem Edge-Transport-Server für Domänensicherheit.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.