Используемый сервер имеет сертификат который невозможно проверить outlook
Перейти к содержимому

Используемый сервер имеет сертификат который невозможно проверить outlook

  • автор:

Outlook не может подключиться к серверу Exchange Server, который использует проверку сертификата на сетевом устройстве

После настройки сетевого устройства для обязательной проверки сертификата между Outlook и Exchange Server 2019, 2016 или 2013 у вас будут сбои подключения в клиентах Outlook.

Сетевое устройство может быть подсистемой балансировки нагрузки или другим сетевым устройством, как описано в разделе «Выбор и проверка сертификата».

Эта проблема возникает, особенно если сетевое устройство настроено таким образом, чтобы клиент должен предоставлять сертификат во время подтверждения SSL на сетевом уровне, а не передавать трафик непосредственно на сервер, на котором выполняется Exchange Server.

Причина

Эта проблема возникает из-за того, что Outlook не поддерживает использование хранилища сертификатов Windows в качестве учетных данных. Outlook использует диспетчер учетных данных Windows для предоставления учетных данных серверам.

Решение

Чтобы настроить проверку подлинности на основе Outlook 2016 и более поздних версий, рекомендуется использовать современную проверку подлинности. Дополнительные сведения о включении современной проверки подлинности см. в следующих статьях:

  • Включение современной проверки подлинности в Microsoft 365
  • Настройка локальной службы Exchange для использования гибридной современной проверки подлинности

Дополнительные сведения

Outlook поддерживает прямое подключение к проверке подлинности смарт-карт с помощью физической смарт-карты или встроенной в микросхему виртуальной смарт-карты доверенного платформенного модуля для каждого пользователя. Проверка подлинности на основе сертификатов поддерживается для Outlook Web App (OWA) и Exchange ActiveSync, но не в Outlook, работающем в Windows. Дополнительные сведения см. в следующих статьях:

  • Настройка проверки подлинности смарт-карт для Outlook в любом месте Exchange Server
  • Demystifying Certificate Based Authentication with Exchange ActiveSync in Exchange Server

Обратная связь

Были ли сведения на этой странице полезными?

Обратная связь

Coming soon: Throughout 2024 we will be phasing out GitHub Issues as the feedback mechanism for content and replacing it with a new feedback system. For more information see: https://aka.ms/ContentUserFeedback.

Отправить и просмотреть отзыв по

Сбой проверки подлинности при использовании сервера IMAP в Outlook 2016

При использовании IMAP для подключения к учетной записи электронной почты в Microsoft Outlook 2016, проверка подлинности завершается неудачно.

Причина

Такое поведение наблюдается, поскольку символ Юникода имеет пароль, подобное одному из следующих:

Обходной путь

Для решения проблемы используйте один из указанных ниже способов.

Метод 1: Изменение пароля

Измените пароль, поэтому он больше не содержит знаки Юникода.

Способ 2: Используйте другой протокол, чем IMAP

Можно настроить учетную запись электронной почты для использования протокола POP3 вместо IMAP, если сервер электронной почты поддерживает подключения POP3. Ниже будет создан новый профиль Outlook, будет настроено для соединения с использованием POP3. Примечание. Протокол POP3 загрузки электронной почты на локальном компьютере и он удаляется с сервера, тогда как IMAP оставляет копию сообщения электронной почты на сервере. Дополнительные сведения содержатся в разделе Понимание различий между POP3 и IMAP4.

  1. Закройте приложение Outlook.
  2. На панели управления щелкните или дважды щелкните значок Почта. Чтобы найти элемент электронной почты, откройте панель управления и введите в поле поиска в верхней части окна сообщений. Элемент управления панель для Windows XP введите в поле адрес электронной почты .
  3. Нажмите кнопку Показать.
  4. Нажмите кнопку Добавить.
  5. Введите имя профиля и нажмите кнопку ОК.
  6. Выберите ручной установкиили дополнительные типы серверови нажмите кнопку Далее.
  7. Выберите POP или IMAPи нажмите кнопку Далее.
  8. Введите ваши имя и адрес электронной почты и выберите Тип учетной записиPOP3 .
  9. Введите сервер входящей почты и сведения о SMTP-сервер исходящей почты, учетные данные для входа и нажмите кнопку Далее. Примечание. Посетите веб-узел узла сервера электронной почты или свяжитесь с ними для сбора сведений сервера входящей и исходящей почты.
  10. Чтобы убедиться в их правильности будет выполнена проверка настройки учетной записи:
    • Если тесты выполнены успешно, нажмите кнопку Закрыть.
    • Если появляется сообщение об ошибке во время тестов нажмите кнопку Закрыть. Исправить сведения в настройки учетной записи, а затем повторите шаги 9 и 10 о правильности настроек учетной записи.
  11. Нажмите кнопку Завершить.
  12. Почтаубедитесь, что выбран параметр всегда использовать этот профиль и выберите новое имя профиля из списка.
  13. Нажмите кнопку ОК.

Способ 3: Использовать Outlook 2013

Если возможно используйте Outlook 2013 вместо Outlook 2016 для подключения к учетной записи IMAP. Эта проблема не возникает в Outlook 2013.

Статус

Корпорация Майкрософт работает над устранением этой проблемы и опубликует дополнительную информацию в этой статье, когда информация станет доступной.

Общие сведения о самозаверяющем сертификате

При установке Exchange 2007 с ролью сервера клиентского доступа создается самозаверяющий сертификат. Самозаверяющий сертификат защищает данные, передаваемые между серверами Exchange 2007 в организации. Он также является временным решением для шифрования связи с клиентами, которое можно использовать до получения и установки другого сертификата. Самозаверяющий имеет две записи дополнительного имени субъекта: одну для NetBIOS-имени сервера клиентского доступа, а другую — для полного доменного имени сервера клиентского доступа. Хотя самозаверяющий сертификат можно использовать для шифрования связи между сервером клиентского доступа и другими ролями сервера Exchange Server 2007, не рекомендуется использовать его с клиентскими приложениями и устройствами. Из-за ограничений самозаверяющего сертификата следует заменить его доверенным сторонним сертификатом или сертификатом, подписанным Windows PKI.

Примечание.
Самозаверяющий сертификат устанавливается для каждой роли сервера Exchange 2007, кроме роли сервера почтовых ящиков.

Ограничения самозаверяющего сертификата

В представленном ниже списке описаны некоторые ограничения самозаверяющего сертификата.

    Дата окончания срока действия: срок действия самозаверяющего сертификата истекает через 12 месяцев после установки сервера Exchange 2007. После этого требуется вручную создать новый самозаверяющий сертификат с помощью командлета New-ExchangeCertificate.

Истечение срока действия сертификата

Срок действия самозаверяющего сертификата истекает через год после установки роли сервера клиентского доступа. Внутренние компоненты, для которых требуются самозаверяющие сертификаты по умолчанию, продолжают работать даже после истечения срока действия такого сертификата. Тем не менее после истечения срока действия самозаверяющего сертификата в средстве просмотра событий регистрируются следующие события:

Тип события: Ошибка

Источник события: MSExchangeTransport

Категория события: TransportService

Код события: 12014

Время: время

Компьютер: имя_сервера

Microsoft Exchange не удается найти сертификат, содержащий имя домена , в хранилище личных сертификатов на локальном компьютере, поэтому он не поддерживает команду STARTTLS SMTP для соединителя с полным доменным именем . Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленных сертификатов, чтобы убедиться, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните командлет Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.

Дополнительные сведения см. в центре справки и поддержки по адресу http://go.microsoft.com/fwlink/?LinkID=34258.

Тип события: предупреждение

Источник события: MSExchangeTransport

Категория события: TransportService

Код события: 12015

Время: время

Компьютер: имя_сервера

Сертификат внутреннего транспорта устарел.

Отпечаток:значение_отпечатка

Дополнительные сведения см. в центре справки и поддержки по адресу http://go.microsoft.com/fwlink/?LinkID=34258.

Рекомендуется обновлять самозаверяющие сертификаты до истечения срока их действия. Для обновления самозаверяющего сертификата путем его клонирования можно использовать командную консоль Exchange. Чтобы клонировать сертификат, прежде всего нужно получить отпечаток текущего сертификата по умолчанию для домена с помощью командлета Get-ExchangeCertificate.

Примечание.
Приведенные ниже командлеты необходимо запускать с локального сервера клиентского доступа Exchange 2007. Удаленно они не запускаются.
Get-ExchangeCertificate -DomainName CAS01.contoso.com

В списке сертификатов в разделе Службы выберите сертификат, который содержит символ W, например, IP.WS. Наличие этого символа указывает, что сертификат назначен службам IIS.

Чтобы клонировать сертификат, выполните следующий командлет:

Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate

Клонированный сертификат получит отметку новой даты окончания срока действия (через год с даты выполнения командлета)

Случаи, в которых можно использовать самозаверяющий сертификат

Самозаверяющий сертификат можно использовать для шифрования связи для некоторых протоколов и в некоторых ситуациях. Клиенты Outlook, присоединенные к домену, могут использовать самозаверяющий сертификат для шифрования сообщений электронной почты и канала связи между клиентом и сервером Exchange. Как указывалось выше, пользователи Outlook Web Access также могут шифровать каналы связи с помощью самозаверяющих сертификатов. Кроме того, их можно применять для шифрования связи между серверами клиентского доступа на различных сайтах службы каталогов Active Directory. Для правильной работы такого сценария (который называется «перенаправление между серверами клиентского доступа») требуется изменить реестр.

Использование самозаверяющего сертификата для клиентов Outlook 2007, присоединенных к домену

Для работы самозаверяющего сертификата с клиентами Microsoft Office Outlook 2007, присоединенными к домену, не требуется дополнительная настройка. При подключении таких клиентов не выводятся предупреждения безопасности, потому что URL-адреса, используемые ими для подключения к службе автообнаружения, ссылаются на внутреннее полное доменное имя сервера клиентского доступа. Самозаверяющий сертификат имеет общее имя, сопоставленное с NetBIOS-именем сервера. Кроме того, самозаверяющий сертификат включает полное доменное имя сервера в качестве дополнительного DNS-имени, которое хранится в поле дополнительного имени субъекта. Это позволяет клиентам, присоединенным к домену, успешно подключаться к службе автообнаружения без вывода предупреждений о сертификате, так как срок действия сертификата не истек, а полное доменное имя сервера, к которому выполняется подключение, хранится в его поле дополнительного имени субъекта. Хотя клиенту не удается проверить самозаверяющий сертификат до доверенного корня, это разрешается при подключении клиентов, присоединенных к домену, к службе автообнаружения с помощью самозаверяющего сертификата. Тем не менее не рекомендуется долгосрочно применять самозаверяющий сертификат, так как его основная цель — позволить отложить на некоторое время получение надлежащего сертификата и дать клиентам Outlook 2007 возможность немедленно приступить к использованию Exchange 2007.

Использование самозаверяющего сертификата с перенаправлением

Для успешного использования самозаверяющего сертификата для шифрования связи между клиентами и серверами в сценарии с перенаправлением необходимо выполнить несколько действий. Дополнительные сведения о перенаправлении см. в разделе Общие сведения по передаче данных через прокси-соединения и перенаправление.

Для поддержки применения самозаверяющих сертификатов с перенаправлением требуется изменить реестр. Клиенты получат сообщение при подключении к серверу клиентского доступа Exchange 2007, так как самозаверяющий сертификат считается недопустимым большинством клиентских приложений, таких как Exchange ActiveSync и Microsoft Office Outlook 2007. Как Exchange ActiveSync, так и Outlook Web Access поддерживают перенаправление с одного сервера клиентского доступа на другой. Чтобы обеспечить успешное перенаправление при использовании самозаверяющего сертификата, на сервере клиентского доступа с выходом в Интернет необходимо настроить следующие разделы реестра:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1

Эти разделы реестра позволят серверу клиентского доступа с входом в Интернет подключаться к серверу клиентского доступа без выхода в Интернет с помощью самозаверяющего сертификата, установленного на сервере без выхода в Интернет. Если сервер клиентского доступа с выходом в Интернет использует самозаверяющий сертификат для связи с клиентами, будут применяться все описанные выше ограничения.

Неправильное изменение реестра может вызвать серьезные неполадки, требующие переустановки операционной системы. Корпорация Майкрософт не гарантирует разрешения неполадок, вызванных неправильным изменением реестра. Перед изменением реестра создайте резервную копию всех важных данных.

Случаи, в которых нельзя использовать самозаверяющий сертификат

Хотя использование самозаверяющих сертификатов поддерживается для клиентов Microsoft Office Outlook 2007, присоединенных к домену, и Outlook Web Access, не рекомендуется долговременно применять их в любых целях, кроме шифрования связи между серверами Exchange 2007 в организации. Для большинства (если не всех) возможностей сервера клиентского доступа, таких как Exchange ActiveSync, Outlook Web Access и Outlook, рекомендуется получить сертификат от Windows PKI или доверенного стороннего центра сертификации и импортировать его в доверенное корневое хранилище на каждом компьютере или устройстве.

Важно!
Самозаверяющий сертификат не поддерживается мобильным Outlook и Exchange ActiveSync.

Дополнительные сведения

Дополнительные сведения о SSL, сертификатах и Exchange 2007 см. в следующих разделах:

Самые последние сведения и дополнительную документацию по Exchange Server 2007 см. в центре технической поддержки Exchange Server TechCenter. © 2008 Microsoft Corporation. Все права защищены. Юридические сведения

Назначение сертификатов службам Exchange Server

После установки сертификата на сервере Exchange Server необходимо назначить сертификат одной или нескольким службам Exchange, прежде чем сервер Exchange сможет использовать сертификат для шифрования. Вы можете назначать сертификаты службам через Центр администрирования Exchange (EAC) или командную консоль Exchange. Назначение сертификата службе невозможно удалить. Если вы больше не хотите использовать сертификат для определенной службы, назначьте ей другой сертификат и удалите ненужный.

В следующей таблице описаны доступные службы Exchange.

Служба Использует
Службы IIS Шифрование TLS для внутренних и внешних клиентских подключений, использующих HTTP. Вот некоторые из них:
Автообнаружение
Exchange ActiveSync
Центр администрирования Exchange
веб-службы Exchange
Распространение автономных адресных книг
Мобильный Outlook (протокол RPC через HTTP)
MAPI Outlook через HTTP
Outlook в Интернете
IMAP Шифрование TLS для клиентских подключений по протоколу IMAP4.
Не назначайте групповой сертификат службе IMAP4. Используйте командлет Set-ImapSettings для настройки полного доменного имени (FQDN), с помощью которого клиенты подключаются к службе IMAP4.
POP Шифрование TLS для клиентских подключений по протоколу POP3.
Не назначайте групповой сертификат службе POP3. Используйте командлет Set-PopSettings для настройки полного доменного имени (FQDN), с помощью которого клиенты подключаются к службе POP3.
SMTP Шифрование TLS для внешних подключений к клиентам и серверам по протоколу SMTP
Проверка подлинности Mutual TLS между Exchange и другими серверами обмена сообщениями.
При назначении сертификата SMTP вам будет предложено заменить самозаверяющий сертификат Exchange по умолчанию, используемый для шифрования smtp-связи между внутренними серверами Exchange. Обычно заменять сертификат SMTP по умолчанию не нужно.
Единая система обмена сообщениями Шифрование TLS для клиентских подключений к серверной службе единой системы обмена сообщениями на серверах почтовых ящиков Exchange 2016.
Вы можете назначить сертификат службе единой системы обмена сообщениями, только если используется режим запуска TLS или «Двойной». Если используется режим запуска по умолчанию TCP, вы не можете назначить сертификат этой службе. (Примечание. UM недоступна в Exchange 2019. Дополнительные сведения см. в статье Configure the Startup Mode on a Mailbox Server.
Маршрутизатор звонков единой системы обмена сообщениями (UMCallRouter) Шифрование TLS для клиентских подключений к службе маршрутизатора вызовов единой системы обмена сообщениями в службах клиентского доступа на серверах почтовых ящиков Exchange 2016.
Вы можете назначить сертификат службе маршрутизатора звонков единой системы обмена сообщениями, только если используется режим запуска TLS или «Двойной». Если используется режим запуска по умолчанию TCP, вы не можете назначить сертификат этой службе. (Примечание. UM недоступна в Exchange 2019. Дополнительные сведения см. в статье Configure the Startup Mode on a Client Access Server.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения: 5 минут.
  • После выполнения процедур, описанных в этом разделе, может потребоваться перезапустить службы IIS. В некоторых сценариях Exchange может продолжать использовать предыдущий сертификат для шифрования и расшифровки файла cookie, который используется для проверки подлинности Outlook в Интернете (ранее — Outlook Web App). Рекомендуется перезапускать СЛУЖБЫ IIS в средах, использующих балансировку нагрузки уровня 4.
  • Если вы обновите или замените сертификат, который был выпущен центром сертификации на подписанном пограничном транспортном сервере, вам нужно будет удалить старый сертификат, а затем удалить и заново создать пограничную подписку. Дополнительные сведения см. в разделе Процесс пограничной подписки.
  • Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.
  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи «Безопасность служб клиентского доступа» в разделе Разрешения клиентов и мобильных устройств .
  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.

Назначить сертификат службам Exchange с помощью Центра администрирования Exchange

значок редактирования.

  1. Откройте EAC и перейдите в раздел Сертификаты серверов>.
  2. В списке Выберите сервер выберите сервер Exchange, где находится сертификат.
  3. Выберите сертификат, который нужно настроить, и нажмите кнопку ИзменитьСертификат должен иметь статусДействительный.
  4. Выберите службы на вкладке Службы в разделе Укажите службы, которым вы хотите назначить этот сертификат. Обратите внимание, что вы можете только добавлять службы, но не удалять их. По завершении нажмите кнопку Сохранить.

Назначить сертификат службам Exchange с помощью командной консоли Exchange

Чтобы назначить сертификат службам Exchange, используйте следующий синтаксис:

Enable-ExchangeCertificate -Thumbprint -Services ,. [-Server ] 

В этом примере сертификат, имеющий значение 434AC224C8459924B26521298CE8834C514856AB отпечатка, назначается службам POP, IMAP, IIS и SMTP.

Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP 

Значение отпечатка сертификата можно найти с помощью командлета Get-ExchangeCertificate.

Как проверить, все ли получилось?

Чтобы убедиться, что вы успешно назначили сертификат одной или нескольким службам Exchange, выполните одно из следующих действий:

  • В центре администрирования Exchange в разделе Сертификаты серверов> убедитесь, что выбран сервер, на котором установлен сертификат. Выберите сертификат и убедитесь, что свойство Назначено службам в области сведений содержит выбранные службы.
  • В командной консоли Exchange на сервере, где вы установили сертификат, выполните следующую команду, чтобы проверить службы Exchange для сертификата:

Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *