Solucionando problemas de erros de validação do certificado
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2009-12-02
Este tópico explica como resolver erros de validação de certificado ou indica documentações que podem ajudá-lo a resolver os erros.
Para obter mais informações sobre como o serviço de Transporte do Microsoft Exchange seleciona certificados para protocolo TLS, consulte os seguintes tópicos:
- Seleção de certificados TLS anônimos de entrada
- Seleção de certificados STARTTLS de entrada
- Seleção de certificados TLS anônimos de saída
Erros ou mensagens de status de validação de certificado
O certificado é válido, mas é autoassinado.
Esse erro é uma mensagem de status informativa. Por padrão, o certificado instalado com o Exchange Server 2010 é autoassinado. Geralmente, é uma prática recomendada usar certificados de autoridades de certificação (CA) de terceiros confiáveis.
Para obter mais informações, consulte Usando PKI no servidor de transporte de borda para a segurança de domínio.
Assunto do certificado não corresponde ao valor transmitido.
Esta mensagem de status indica que o nome de domínio nos campos de nome do assunto ou nome alternativo de assunto do certificado não correspondem ao nome de domínio totalmente qualificado (FQDN) do nome de domínio do remetente ou destinatário. Para corrigir esse erro, é necessário criar um novo certificado que corresponda ao FQDN do Conector de Envio ou de Recebimento que tentou validar esse certificado.
Para obter mais informações, consulte Noções Básicas Sobre Certificados TLS.
A assinatura do certificado não pode ser verificada.
Esta mensagem de status indica que o serviço de Transporte do Microsoft Exchange não pôde validar a cadeia de certificados, ou que a chave pública usada para validar a assinatura do certificado não é a chave correta.
Uma cadeia de certificado foi processada, mas terminou em um certificado raiz que não é confiável para o provedor de confiança.
Essa mensagem de status indica que o certifica usado para essa operação não é confiável para o armazenamento de certificado do computador. Para confiar nesse certificado, a autoridade de certificação raiz do certificado fornecido deve estar presente no repositório de certificados desse computador.
Para obter mais informações sobre como adicionar manualmente certificados ao repositório local, consulte o arquivo da Ajuda relativo ao snap-in Gerenciador de Certificados do Console de Gerenciamento Microsoft (MMC).
O certificado não é válido para o uso solicitado.
Essa mensagem de status indica que você deve habilitar o certificado para uso no aplicativo atual. Por exemplo, se você estiver tentando usar esse certificado para Segurança de Domínio, o certificado deverá estar habilitado para SMTP.
Para obter mais informações sobre como habilitar certificados, consulte Enable-ExchangeCertificate.
Como alternativa, esta mensagem de status pode indicar que o certificado que você está usando não possui os dados corretos no campo Uso Avançado de Chave. Todos os certificados usados para protocolo TLS devem conter um identificador de objeto de Autenticação de Servidor (também conhecido como OID). Se estiver tentando usar um certificado para TLS que não contenha um OID de Autenticação de Servidor no campo Uso Avançado de Chave, você deverá criar um novo certificado.
Para obter mais informações, consulte Noções Básicas Sobre Certificados TLS.
Um certificado obrigatório não está dentro do seu período de validade na verificação em relação ao relógio do sistema atual ou ao carimbo de data/hora no arquivo assinado.
Esta mensagem de status indica que a hora do sistema está incorreta, o certificado expirou ou a hora do sistema que assinou o arquivo está incorreta. Verifique se as seguintes condições são verdadeiras:
- O relógio local do computador está certo.
- O certificado não expirou.
- O relógio do sistema de envio está certo.
Se o certificado tiver expirado, você deverá gerar um novo certificado.
Para obter mais informações, consulte Noções Básicas Sobre Certificados TLS.
Os períodos de validade da cadeia de certificação não são aninhados corretamente.
Esta mensagem de status indica que a cadeia de certificado está corrompida ou de outra forma não é confiável. Gere um novo certificado com o cmdlet New-ExchangeCertificate ou entre em contato com sua autoridade de certificação para validar a cadeia de certificados usada para esse certificado.
Um certificado que pode ser usado apenas como uma entidade final está sendo usado como um CA ou vice-versa.
Esta mensagem de status indica que o certificado é inválido porque foi emitido por um certificado de entidade final e não uma autoridade de certificação. Um certificado de entidade final é um certificado criado para uso criptográfico de um aplicativo específico. Gere um novo certificado com o cmdlet New-ExchangeCertificate ou entre em contato com sua autoridade de certificação para validar o certificado.
O certificado ou a assinatura foi revogada.
Contate sua autoridade de certificação para resolver esse problema.
Um certificado foi explicitamente revogado pelo seu emissor.
Contate sua autoridade de certificação para resolver esse problema.
A função de revogação não conseguiu verificar a revogação porque o servidor de revogação estava offline.
Esta mensagem de status indica que o servidor de revogação do certificado não pôde ser encontrado. Em alguns casos, este erro é temporário, devido ao mau funcionamento do servidor de revogação. Caso contrário, verifique se esse computador pode acessar o servidor de revogação. Se houver um firewall ou servidor proxy entre este computador e o servidor de revogação, verifique se seu computador está configurado para superar o obstáculo.
Para obter mais informações, consulte Usando PKI no servidor de transporte de borda para a segurança de domínio.
Não foi possível continuar o processo de revogação. Não foi possível verificar os certificados.
Esta mensagem de status indica que o processo de revogação foi interrompido por uma falha geral de rede. Se houver um firewall ou servidor proxy entre este computador e o servidor de revogação, verifique se seu computador está configurado para superar o obstáculo.
Para obter mais informações, consulte Usando PKI no servidor de transporte de borda para a segurança de domínio.