Como solucionar o problema do Erro 12014 do Certificado STARTTLS
Aplica-se a: Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-05-23
Este tópico explica como solucionar o evento 12014, que é um aviso indicando um problema ocorrido durante o carregamento de um certificado a ser usado para STARTTLS. Em geral, esse problema ocorrerá se uma ou ambas as condições a seguir forem verdadeiras:
O nome de domínio totalmente qualificado (FQDN) especificado no evento de aviso for definido em um conector de envio ou de recebimento em um servidor de transporte do Microsoft Exchange Server 2007. Além disso, nenhum certificado estiver instalado no mesmo computador que contém o FQDN no campo Nome do Assunto ou Nome de Assunto Alternativo.
Um certificado personalizado ou de terceiros for instalado no servidor. E esse certificado contiver um FQDN correspondente. Entretanto, o certificado não está habilitado para o serviço SMTP.
A funcionalidade TLS (Transport Layer Security) exige que um certificado válido seja instalado no armazenamento de certificados pessoais do computador.
Antes de começar
Para executar esse procedimento, você deve usar uma conta à qual estejam delegadas as seguintes funções:
Função de Administrador Somente para Exibição do Exchange para executar o cmdlet Get-ExchangeCertificate
Função de Administrador do Exchange Server e grupo de Administradores local para o servidor de destino para executar o cmdlet New-ExchangeCertificate ou Enable-ExchangeCertificate
Para executar qualquer um desses cmdlets em um computador em que a função de servidor Transporte de Borda esteja instalada, faça logon com uma conta que seja membro do grupo Administradores local nesse computador.
Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange 2007, consulte Considerações sobre permissão.
Procedimento
Para resolver esse evento de aviso
Examine a configuração dos certificados que estão instalados no servidor Exchange e a configuração de todos os conectores de envio e recebimento que estão instalados no servidor. Use os seguintes comandos para exibir a configuração:
Get-ExchangeCertificate | FL * Get-ReceiveConnector | FL name, fqdn, objectClass Get-SendConnector | FL name, fqdn, objectClassDica
Para exibir os serviços que estão habilitados para o certificado instalado, use o asterisco (
) quando executar o argumentoFLno cmdlet Get-ExchangeCertificate. Os valores de serviços não serão exibidos se onão for especificado nos parâmetros da tarefa.Execute os comandos e compare o FQDN retornado com o evento de aviso com o FQDN definido em cada conector e com os valores CertificateDomains definidos em cada certificado. O valor CertificateDomains é uma concatenação dos campos Nome do Assunto e Nome de Assunto Alternativo no certificado.
O objetivo é verificar se cada conector que está usando o TLS tem um certificado correspondente que inclui o FQDN do conector nos valores CertificateDomains do certificado. Observe qualquer conector que esteja habilitado para TLS, mas não tenha um certificado correspondente no qual o FQDN do conector esteja com os valores CertificateDomains do certificado.
Inspecione o valor Services em cada certificado. Se você estiver usando um certificado para TLS, ele deverá estar habilitado para o serviço SMTP que usa um valor Services de
SMTP.Se o FQDN não estiver listado no parâmetro CertificateDomains, crie um novo certificado e especifique o FQDN do conector retornado nessa mensagem de aviso. É possível criar o certificado usando o cmdlet New-ExchangeCertificate. Se preferir, use um certificado personalizado ou de terceiros. Você pode usar o cmdlet New-ExchangeCertificate para gerar a solicitação de certificado. Para obter mais informações, consulte Criando um certificado ou uma solicitação de certificado de TLS (página em inglês).
Se um certificado de terceiros ou personalizado tiver sido instalado no servidor e contiver um FQDN correspondente, mas não estiver habilitado para o serviço SMTP, você deverá habilitá-lo. Para obter mais informações, consulte Enable-ExchangeCertificate (página em inglês).
Para obter mais informações
Para obter mais informações, consulte os seguintes tópicos: