iT邦幫忙

0

Exchange 2010 憑證完成擱置錯誤

bfox 2011-11-20 20:40:006618 瀏覽


目前在Exchange 完成擱置要求都會發生這個狀況

前面的步驟
是新增Exchange憑證
然後把*.req的內容 複製
到CA 要要求 Basc-64 的貼上
在下載DER編碼
不過完成擱置要求選擇剛剛下載來的憑證
都會發生 上面的錯誤
所以想請問是哪方面的問題 謝謝

2 個回答

6
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2011-11-21 14:27:19
最佳解答

DC端新增AD憑證服務(腳色)
1 勾選『憑證授權單位』+『網頁註冊』2項目
選擇企業
根CA
私密金鑰保留預設值
密碼編譯保留預設值
CA名稱會自動帶出,或自行修改

期限預設5年
憑證資料庫位置,採預設

2 系統管理工具-憑證授權單位
滑鼠點名稱--內容--檢視憑證--確認使用目的有2個
3 確認IIS當中有CertSrv虛擬目錄
4 以IIS連線,輸入帳密,發現錯誤,CertSrv的實體路徑是C:\Windows\system32\CertSrv
把它改為:C:\Windows\system32\CertSrv\zh-TW,已經正常

Exchange 端
1 IE連線到DC/Certsrv目錄,輸入驗證
2 選擇:要求憑證--進階憑證要求--用Base-64編碼….
3 將憑證.reg 文字內容,貼到憑證要求內容中
4 憑證範本,選擇Web Server--提交
5 下載憑證certnew.cer
6 回到Exchange 主控台--伺服器設定-主機-剛剛申請的憑證
7 選擇:完成擱置的要求,瀏覽到剛剛的憑證檔-完成

環境,DC跟EXCHANGE是分開吧?憑證伺服器在哪一台?
從EXCHANGE這台,用IE連結到DC/CERTSRV正常嗎?(你應該是)
你可能是『主體別名』部分沒有寫好
把步驟打掉重來
新增Exchange憑證--用戶端存取項目中的外部主機名稱,務必加上『跟網域』,及所有用得到的
host.domain.com.tw,host是想用的主機名稱
我的話,外部主機名稱包含有
domain.com.tw
host.domain.com.tw
mail.domain.com.tw
autodiscover.domain.com.tw

2
raytracy
iT邦大神 1 級 ‧ 2011-11-21 17:13:15

你的 Root CA 是從哪裡來的? 是第三方公開 CA? 還是自己架的?

  1. 若是自己架的:
    你的 CA 架設方法可能有誤, 導致 Root CA 的憑證沒有派送到 Exchange 上面, 或是 Exchange 無法查到 Root CA, 所以無法驗證你的憑證可信度.

  2. 若是第三方 CA:
    您所選用的第三方 CA 可能有問題, 或是最近出問題被撤銷掉(前幾個月有一些第三方 CA 出問題, 被取消信任), 導致 Exchange 查不到, 無法信任該憑證.

bfox iT邦新手 5 級 ‧ 2011-11-21 17:47:02 檢舉

自己架的
架法就像bigcandy 所說的
剛剛又從做一次
不過 2 的部分檢視憑證只有一個
如果憑證沒有派送到 Exchange 上
有其他或是手動的方式嗎
謝謝

raytracy iT邦大神 1 級 ‧ 2011-11-22 09:54:23 檢舉

你做完步驟 1. 之後, 有沒有重開機? 沒有重開的話, 可能就看不到全部....

bfox iT邦新手 5 級 ‧ 2011-11-22 15:09:02 檢舉

是有重開啦
不過重新做第2次 到沒有
剛剛DC 跟Exchange server都重新開機就好了
只是第一次的部分還是有點奇怪 卡在哪邊0.0....

我要發表回答

立即登入回答