憑證 Principal 不符

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (http://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2011-01-26

Microsoft Exchange Best Practices Analyzer 工具會剖析 Microsoft Exchange Server 2007 中的公認網域清單,以擷取公認 SMTP 網域的 URL。Analyzer 會嘗試從每一個公認 SMTP 網域收集與特定網域相關聯的 SSL 憑證。此工具會檢查收集到的每一個憑證,判斷特定憑證上的 Principal 屬性值。Principal 屬性的值就是憑證的一般名稱 (CN),它會出現在憑證物件上的 Issued to 旁。

如果憑證的一般名稱與 Analyzer 用於存取該資源的 URL 不符,此工具會發出「憑證原則不相符」警告訊息。這表示使用者可能無法使用 Microsoft Office Outlook® Web Access for Microsoft Exchange Server 2003、Exchange Server 2007 適用的 Outlook 無所不在、Exchange Server ActiveSync 或 RPC over HTTP 連線至他們的信箱。

在此案例中,當使用者嘗試連線到 Exchange 時可能會重複提示他們輸入憑證,或者,當使用者嘗試連線到 Exchange 資源時會收到下列錯誤訊息:

 

無法使用與您郵件伺服器的加密連線。按 [下一步] 以嘗試使用未加密的連線。

如果符合下列其中一個條件,便會發生憑證原則不相符的錯誤:

  • 憑證的一般名稱不正確。
  • 伺服器有不只一個 DNS 名稱,而用戶端使用不正確的 URL 存取伺服器上的資料。
  • 在 Exchange Transport 伺服器上的 [公認網域] 項目過時或不正確。

Exchange 需要憑證才能執行 SSL 通訊協定,如 HTTPS。您可使用支援 Exchange 2007 的主體交替名稱 (SAN) 的憑證。意思是說,允許憑證支援具有不同名稱的資源,如 Outlook Anywhere 和自動探索 Web 應用程式。

note附註:
如需有關如何搭配使用萬用字元憑證 (*) 與 Exchange 2007 的相關資訊,請參閱Exchange Server 2007 的憑證使用

但是,當您使用 SAN 憑證時,如果 Principal ("Issued to") 名稱與用戶端用於存取資源的 FQDN 不相符,會收到憑證原則不相符錯誤。

解決憑證名稱不符
  1. 判斷用戶端用於存取資源的 FQDN。例如,若要確認 Outlook 使用的 FQDN,請遵循下列步驟:

    1. 啟動 Microsoft Outlook。
    2. 在 [工具] 功能表上,按一下 [帳戶設定] 。
    3. 按一下 [電子郵件] 索引標籤,按一下 Exchange 帳戶,然後按一下 [變更]。
    4. 按一下 [其他設定值],再按一下 [連線] 索引標籤。
    5. 按一下 [Exchange Proxy 設定]。
    6. 記下 [僅連線至其憑證中有此主要名稱的 Proxy 伺服器] 方塊中列出的 FQDN。例如,mail.contoso.com
  2. 使用 Exchange 管理命令介面來判斷 CertPrincipalName 屬性的值,如下所述:

  3. Get-OutlookProvider

  4. 此命令會傳回 EXPR 名稱的結果。例如,命令會傳回:msstd:server1.contoso.com

  5. 使用 Exchange 管理命令介面修改 CertPrincipalName 屬性,使其符合 Outlook 用於存取資源的 FQDN。若要這樣做,請使用下列命令:

    Set-OutlookProvider EXPR -CertPrincipalName:"msstd:<FQDN the certificate is issued to>"
    
note附註:
當您取得 Exchange 的憑證時,最好使用外部可存取的 DNS 名稱做為憑證主要名稱。例如,使用 mail.contoso.com 做為 SAN 憑證的主要名稱。

當 Analyzer 工具偵測到公認網域項目,但套用此公認網域的內部 SMTP 網域已不存在於 Exchange 中時,也可能發生這個錯誤。

若要解決此問題,您必須刪除套用至已不存在或已不再使用之 SMTP 網域的收件者原則。

若要檢視 Exchange 中的公認網域
  1. 啟動 Exchange 管理主控台。

  2. 展開 [組織組態],然後按一下 Transport 伺服器。例如,Hub Transport。若是 Edge Transport 伺服器,按一下 Edge Transport

  3. 在詳細資料窗格中,按一下 [公認的網域] 索引標籤。檢查 [公認網域] 清單中出現的項目,判斷其中是否有項目應該移除。

如需如何使用 SSL 及如何取得並安裝伺服器憑證的相關資訊,請參閱《Exchange Server 2003 用戶端存取手冊》中的<設定 Exchange Server 2003 進行用戶端存取>。

  • 如需有關如何使用 SSL 以及如何取得並安裝 Exchange Server 2007 伺服器憑證的相關資訊,請參閱如何設定 Outlook Anywhere 的 SSL
  • 如需在 Exchange 2007 SP2 和更新版本中,如何針對網際網路存取設定自動探索服務的詳細資訊,請檢閱《白皮書:Exchange 2007 自動探索服務》中的<如何針對網際網路存取設定自動探索服務>一節。
 
顯示: