如何解决 STARTTLS 证书错误 12014

适用于： Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2007-05-23

本主题将介绍如何解决事件 12014。事件 12014 是一个警告事件，表示在加载要用于 STARTTLS 的证书时出现问题。通常，在出现下列一种或同时出现两种情况时会发生此问题：

在警告事件中指定的完全限定的域名 (FQDN) 已在 Microsoft Exchange Server 2007 传输服务器上的接收连接器或发送连接器中定义。此外，没有在同一计算机上安装“主题”或“主题备用名称”字段中包含该 FQDN 的证书。
在服务器上已安装了第三方证书或自定义证书，而且此证书包含匹配的 FQDN。但是，没有针对简单邮件传输协议 (SMTP) 服务启用该证书。

传输层安全性 (TLS) 功能要求在计算机的个人证书存储中安装有效证书。

开始之前

若要执行此步骤，必须为您使用的帐户委派下列角色：

Exchange 仅查看管理员角色，以便运行 Get-ExchangeCertificate cmdlet
Exchange Server 管理员角色和目标服务器的本地 Administrators 组，以便运行 New-ExchangeCertificate cmdlet 或 Enable-ExchangeCertificate cmdlet

若要在安装了边缘传输服务器角色的计算机上运行任何上述 cmdlet，必须使用该计算机上的本地 Administrators 组成员的帐户进行登录。

有关管理 Exchange 2007 所需的权限、角色委派以及权利的详细信息，请参阅权限注意事项。

检查安装在 Exchange 服务器上的证书的配置以及安装在该服务器上的所有接收连接器和发送连接器的配置。使用以下命令查看配置：

Get-ExchangeCertificate | FL *
Get-ReceiveConnector | FL name, fqdn, objectClass
Get-SendConnector | FL name, fqdn, objectClass

注意：
若要显示为已安装证书启用的服务，您必须在针对 Get-ExchangeCertificate cmdlet 运行 `FL` 参数时使用星号 (``)。如果未在任务参数中指定 ``，则将不会显示服务值。

运行以上命令，并将警告事件返回的 FQDN 与在每个连接器上定义的 FQDN 以及在每个证书上定义的 CertificateDomains 值的进行比较。CertificateDomains 值是证书上“主题”和“主题备用名称”字段的串联，

目的在于确认使用 TLS 的每个连接器都有相应的证书，在该证书的 CertificateDomains 值中包含连接器的 FQDN。记下符合以下条件的任何连接器：该连接器已针对 TLS 启用，但没有相应的其 CertificateDomains 值中包含连接器 FQDN 的证书。

检查每个证书上的 Services 值。如果您正在对 TLS 使用证书，则必须对使用 SMTP 的 Services 值的 SMTP 服务启用该证书。

如果 CertificateDomains 参数上未列出 FQDN，则必须新建证书并指定在此警告消息中返回的连接器的 FQDN。您可以使用 New-ExchangeCertificate cmdlet 创建证书。或者您可能愿意使用第三方证书或自定义证书。您可以使用 New-ExchangeCertificate cmdlet 生成证书请求。有关详细信息，请参阅创建 TLS 证书或证书请求。
如果服务器上已安装了第三方证书或自定义证书并且该证书包含匹配的 FQDN，但没有针对 SMTP 服务启用该证书，则您必须为 SMTP 服务启用该证书。有关详细信息，请参阅 Enable-ExchangeCertificate。

有关详细信息，请参阅下列主题：