排除证书验证故障
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2012-07-23
本主题将介绍解决证书验证错误的方法或可能有助于解决这些错误的文档。
有关 Microsoft Exchange 传输服务如何选择传输层安全性 (TLS) 证书的详细信息,请参阅以下主题:
证书验证错误或状态消息
证书有效但属于自签名证书。
此错误是信息性状态消息。默认情况下,随 Exchange Server 2010 安装的证书是自签名证书。通常,最佳做法是使用受信任的第三方证书颁发机构 (CA) 颁发的证书。
有关详细信息,请参阅在边缘传输服务器上使用 PKI 以确保域安全。
证书主题与传递的值不匹配。
此状态消息表明证书的主题名或主题备用名字段中的域名与发送连接器或接收连接器域名的完全限定域名 (FQDN) 不匹配。若要纠正此错误,必须创建与尝试验证此证书的发送连接器或接收连接器的 FQDN 匹配的新证书。
有关详细信息,请参阅了解 TLS 证书。
无法验证证书签名。
此状态消息表明 Microsoft Exchange 传输服务无法验证证书链,或用于验证证书签名的公钥不是正确的密钥。
证书链已处理,但是以信任提供程序不信任的根证书终止。
此状态消息表明计算机证书存储不信任用于此操作的证书。若要信任此证书,给定证书的根证书颁发机构必须存在于此计算机的证书存储中。
有关如何将证书手动添加到本地证书存储的详细信息,请参阅 Microsoft 管理控制台 (MMC) 中证书管理器管理单元的帮助文件。
证书对于所请求的用法无效。
此状态消息表明必须使证书可以在当前应用程序中使用。例如,如果尝试使用此证书实现域安全性,则必须为此证书启用 SMTP。
有关如何启用证书的详细信息,请参阅 Enable-ExchangeCertificate。
此外,此状态消息可能表示您所使用的证书在“增强密钥用法”字段中没有正确的数据。用于 TLS 的所有证书必须包含服务器身份验证对象标识符(也称为 OID)。如果尝试对 TLS 使用在“增强密钥用法”字段中没有服务器身份验证 OID 的证书,必须新建证书。
有关详细信息,请参阅了解 TLS 证书。
对已签名文件中的当前系统时钟或时间戳进行验证时,所需证书不在有效期内。
此状态消息表明系统时间不正确、证书已过期或签署文件的系统的时间不正确。验证是否符合下列条件:
本地计算机时钟是准确的。
证书尚未过期。
发送系统时钟是准确的。
如果证书已过期,则必须生成新证书。
有关详细信息,请参阅了解 TLS 证书。
证书链的有效期未正确地嵌套。
此状态消息表明证书链已损坏或由于其他原因而不可靠。使用 New-ExchangeCertificate cmdlet 生成新证书,或与证书颁发机构联系,验证用于此证书的证书链。
只能作为最终实体使用的证书,正在作为 CA 使用或相反情况。
此状态消息表明证书由于是最终实体(而不是证书颁发机构)颁发的,所以无效。终端实体证书是为特定应用程序加密用法创建的证书。使用 New-ExchangeCertificate cmdlet 生成新证书,或与证书颁发机构联系来验证该证书。
证书或签名已被吊销。
请与证书颁发机构联系,以解决此问题。
证书已被颁发机构明确吊销。
请与证书颁发机构联系,以解决此问题。
由于吊销服务器已脱机,吊销功能无法核对吊销。
此状态消息表明无法访问证书的吊销服务器。在某些情况下,此错误是暂时性的,原因是吊销服务器出现故障。如果不是暂时性的,请确保此计算机可以访问吊销服务器。如果在此计算机与吊销服务器之间存在防火墙或代理服务器,请确保您的计算机配置为可以穿过该障碍。
有关详细信息,请参阅在边缘传输服务器上使用 PKI 以确保域安全。
吊销过程无法继续进行。无法核对证书。
此状态消息表明由于一般的网络故障而中断了吊销过程。如果在此计算机与吊销服务器之间存在防火墙或代理服务器,请确保您的计算机配置为可以穿过该障碍。
有关详细信息,请参阅在边缘传输服务器上使用 PKI 以确保域安全。
© 2010 Microsoft Corporation。保留所有权利。