如何對 STARTTLS 憑證錯誤 12014 進行疑難排解

Exchange 2007
 

適用版本: Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-05-23

本主題說明如何對事件 12014 進行疑難排解。事件 12014 是警告事件,表示在載入要用於 STARTTLS 的憑證時發生問題。一般而言,有下列兩個或其中一個狀況時會發生此問題:

  • Microsoft Exchange Server 2007 傳輸伺服器的接收連接器或傳送連接器上已定義警告事件中指定的網域全名 (FQDN)。此外,在 [主旨] 或 [主旨替代名稱] 欄位中含有 FQDN 的相同電腦上未安裝任何憑證。

  • 伺服器上已安裝協力廠商或自訂憑證。且此憑證包含相符的 FQDN。但是,此憑證未啟用簡易郵件傳送通訊協定 (SMTP) 服務。

傳輸層安全性 (TLS) 功能要求電腦的個人憑證儲存區中必須安裝有效的憑證。

若要執行這個程序,您使用的帳戶必須已委派下列資格:

  • Exchange 僅檢視管理角色,以執行 Get-ExchangeCertificate 指令程式

  • Exchange Server 系統管理員角色和目標伺服器的本機 Administrators 群組,以執行 New-ExchangeCertificate 指令程式或 Enable-ExchangeCertificate 指令程式

若要在已安裝 Edge Transport server role 的電腦上執行上述任何指令程式,則必須使用該電腦的本機 Administrators 群組成員帳戶進行登入。

如需管理 Exchange 2007 所需之權限、委派角色以及權利的相關資訊,請參閱權限考量

  1. 檢查 Exchange 伺服器上安裝之憑證的組態,以及伺服器上安裝的所有接收連接器和傳送連接器的組態。請使用下列命令來檢視組態:

    Get-ExchangeCertificate | FL *
    Get-ReceiveConnector | FL name, fqdn, objectClass
    Get-SendConnector | FL name, fqdn, objectClass
    
    note附註:
    若要顯示對於安裝的憑證所啟用的服務,則在 Get-ExchangeCertificate 指令程式上執行 FL 引數時,必須使用星號 (*)。如果工作參數中未指定 *,則不會顯示服務的值。

    執行命令,然後比較警告事件傳回的 FQDN 與每一個連接器上定義的 FQDN,也與每一個憑證定義的 CertificateDomains 值作比較。CertificateDomains 值是串連憑證的 [主旨] 和 [主旨替代名稱] 欄位的結果。

    目的是要驗證每一個使用 TLS 的連接器都有對應的憑證,且該憑證在其 CertificateDomains 值中包含連接器的 FQDN。注意任何連接器,該連接器已啟用 TLS 但卻沒有對應的憑證在憑證的 CertificateDomains 值中有連接器的 FQDN。

    檢查每一個憑證的 Services 值。如果對 TLS 使用憑證,則必須啟用 Services 值為 SMTP 的 SMTP 服務。

  2. 如果 CertificateDomains 參數未列出 FQDN,您必須建立新的憑證,並指定此警告訊息所傳回的連接器 FQDN。您可以使用 New-ExchangeCertificate 指令程式來建立憑證。或者,您可能偏好使用協力廠商或自訂的憑證。您可以使用 New-ExchangeCertificate 指令程式來產生憑證要求。如需相關資訊,請參閱建立 TLS 的憑證或憑證要求

  3. 如果伺服器上已安裝協力廠商或自訂憑證,且該憑證包含相符的 FQDN 但未啟用 SMTP 服務,則必須啟用憑證的 SMTP 服務。如需相關資訊,請參閱Enable-ExchangeCertificate

 
顯示: