Risoluzione dei problemi relativi agli errori di convalida del certificato
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2012-07-23
In questo argomento viene descritto come risolvere gli errori di convalida del certificato o vengono forniti i riferimenti alla documentazione che consente di risolvere gli errori.
Per ulteriori informazioni su come il servizio di trasporto di Exchange seleziona i certificati per Transport Layer Security (TLS), vedere i seguenti argomenti:
Errori di convalida del certificato o messaggi di stato
Il certificato è valido ma è autofirmato.
Questo errore è un messaggio informativo sullo stato. Per impostazione predefinita, il certificato installato con Exchange Server 2010 è autofirmato. In genere si consiglia di utilizzare certificati provenienti da autorità di certificazione (CA) di terze parti affidabili.
Per ulteriori informazioni, vedere Utilizzo di PKI sul server Trasporto Edge per la protezione del dominio.
L'oggetto del certificato non corrisponde al valore passato.
Questo messaggio di stato indica che il nome di dominio sia nei campi del nome dell'oggetto che del nome oggetto alternativo del certificato non corrisponde al nome di dominio completo (FQDN) del nome di dominio del mittente o del destinatario. Per correggere l'errore, è necessario creare un nuovo certificato che corrisponda al nome di dominio completo (FQDN) del connettore di invio o di ricezione che ha tentato di convalidare il certificato.
Per ulteriori informazioni, vedere Informazioni sui certificati TLS.
Impossibile verificare la firma del certificato.
Questo messaggio di stato indica che per il servizio di trasporto Microsoft Exchange non è stato possibile convalidare la catena dei certificati o che la chiave pubblica che è stata utilizzata per convalidare la firma dei certificati non è la chiave corretta.
Elaborazione di una catena di certificati terminata da un'autorità di certificazione non considerata attendibile dal provider di attendibilità.
Questo messaggio di stato indica che il certificato che è stato utilizzato per questa operazione non è considerato attendibile dall'archivio dei certificati del computer. Affinché il certificato venga considerato attendibile, l'autorità di certificazione radice per un determinato certificato deve essere presente nell'archivio certificati del computer.
Per ulteriori informazioni sull'aggiunta manuale dei certificati nell'archivio di certificati locale, vedere il file della Guida per lo snap-in Gestione certificati in Microsoft Management Console (MMC).
Il certificato non è valido per l'utilizzo richiesto.
Questo messaggio di stato indica che è necessario abilitare il certificato per l'uso nell'applicazione corrente. Ad esempio, se si cerca di utilizzare il certificato per la protezione del dominio, il certificato deve essere abilitato per il protocollo SMTP (Simple Mail Transfer Protocol).
Per ulteriori informazioni sull'abilitazione dei certificati, vedere Enable-ExchangeCertificate.
In alternativa, questo messaggio di stato può indicare che il certificato in uso non dispone dei dati corretti nel campo Utilizzo chiavi avanzato. Tutti i certificati che vengono utilizzati per Transport Layer Security (TLS) devono contenere un identificatore dell'oggetto autenticazione server (noto anche come OID, Object Identifier). Se si cerca di utilizzare un certificato per TLS che non contiene un identificatore dell'oggetto autenticazione server nel campo Utilizzo chiavi avanzato, è necessario creare un nuovo certificato.
Per ulteriori informazioni, vedere Informazioni sui certificati TLS.
Il certificato richiesto non rientra nel periodo di validità nel corso della verifica con il clock di sistema corrente o con il timestamp nel file firmato.
Questo messaggio di stato indica che l'ora del sistema è inesatta, il certificato è scaduto oppure l'ora del sistema che ha firmato il file è inesatta. Verificare che siano soddisfatte le seguenti condizioni:
L'orologio del computer locale è preciso.
Il certificato non è scaduto.
L'orologio del sistema di invio è preciso.
Se il certificato è scaduto, è necessario generare un nuovo certificato.
Per ulteriori informazioni, vedere Informazioni sui certificati TLS.
I periodi di validità della catena di certificazione non sono nidificati correttamente.
Questo messaggio di stato indica che la catena di certificati è danneggiata o comunque non affidabile. Generare un nuovo certificato utilizzando il cmdlet New-ExchangeCertificate o contattare l'autorità di certificazione per convalidare la catena di certificati utilizzata per il certificato.
Un certificato che può essere utilizzato solo come entità di fine è utilizzato come CA o viceversa.
Questo messaggio di stato indica che il certificato non è valido poiché è stato rilasciato da un'entità di fine e non da un'autorità di certificazione. Un certificato con entità finale è un certificato che è stato creato per un utilizzo crittografico applicativo specifico. Generare un nuovo certificato utilizzando il cmdlet New-ExchangeCertificate o contattare l'autorità di certificazione per convalidare il certificato.
È stato revocato il certificato o la firma.
Contattare l'autorità di certificazione per risolvere il problema.
Un certificato è stato esplicitamente revocato dall'autorità emittente.
Contattare l'autorità di certificazione per risolvere il problema.
Non è stato possibile eseguire il controllo della revoca perché il server di revoca non era in linea.
Questo messaggio di stato indica che non è stato possibile raggiungere il server di revoca del certificato. In alcuni casi, si tratta di un errore temporaneo a causa del malfunzionamento del server di revoca. In alternativa, assicurarsi che il computer possa accedere al server di revoca. Se esiste un firewall o un server proxy tra il computer e il server di revoca, assicurarsi che il computer sia configurato per superare l'ostacolo.
Per ulteriori informazioni, vedere Utilizzo di PKI sul server Trasporto Edge per la protezione del dominio.
Impossibile continuare il processo di revoca. Impossibile controllare i certificati.
Questo messaggio di stato indica che il processo di revoca è stato interrotto a causa di un errore di rete generale. Se esiste un firewall o un server proxy tra il computer e il server di revoca, assicurarsi che il computer sia configurato per superare l'ostacolo.
Per ulteriori informazioni, vedere Utilizzo di PKI sul server Trasporto Edge per la protezione del dominio.
©2010 Microsoft Corporation. Tutti i diritti riservati.