如何修復憑證驗證錯誤

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-04-13

當憑證無法驗證時,若您使用的是 Microsoft Operations Manager 2005,下列錯誤即會傳回 [操作員主控台],若您使用的是 System Center Operations Manager 2007,則會傳回 [作業主控台]。這些錯誤也可以當成應用程式記錄檔事件傳回。本主題將說明如何解決這些錯誤,或提供可協助您解決憑證驗證錯誤的文件。

如需 Microsoft Exchange Transport 服務如何選取傳輸層安全性 (TLS) 之憑證的相關資訊,請參閱 SMTP TLS 憑證選擇

憑證驗證錯誤或狀態訊息

  • 憑證有效但為自行簽署的。   此錯誤為參考用的狀態訊息。依預設,利用 Microsoft Exchange Server 2007 安裝的憑證為自行簽署的。一般來說,最好是使用來自信任之協力廠商憑證授權單位 (CA) 的憑證。

    如需相關資訊,請參閱如何針對網域安全性啟用 Edge Transport Server 的 PKI

  • 憑證主旨不符合傳遞值。   此狀態訊息指出,憑證之主旨名稱或主旨替代名稱欄位中的網域名稱,不符合寄件者或收件者網域名稱的網域全名 (FQDN)。若要更正此錯誤,您必須建立一個新憑證,其需符合試圖驗證此憑證之傳送連接器或接收連接器的 FQDN。

    如需相關資訊,請參閱建立 TLS 的憑證或憑證要求

  • 無法驗證憑證的簽章。   此狀態訊息指出,Microsoft Exchange Transport 服務無法驗證憑證鏈結,或用來驗證憑證簽章的公開金鑰不是正確金鑰。

    如需相關資訊,請參閱 Exchange 2007 白皮書中的網域安全性 (英文)。

  • 已處理憑證鏈結,但最終的根憑證中未受到信任提供者信任。   此狀態訊息指出,用於此作業的憑證未受到電腦憑證儲存區所信任。若要信任此憑證,指定憑證的根憑證授權單位必須出現在此電腦的憑證儲存區中。

    如需如何手動將憑證加入本機憑證儲存區的相關資訊,請參閱 Microsoft 管理主控台 (MMC) 中 [憑證管理員] 嵌入式管理單元的 [說明] 檔案。

  • 憑證對要求的用法無效。   此狀態訊息指出,您必須啟用要在目前應用程式中使用的憑證。例如,如果您嘗試針對網域安全性使用此憑證,則必須針對簡易郵件傳送通訊協定 (SMTP) 啟用此憑證。

    如需如何啟用憑證的相關資訊,請參閱 Enable-ExchangeCertificate

    另外,此狀態訊息可能指出,您所使用的憑證在 [Enhanced Key Usage] 欄位中並沒有正確的資料。用於傳輸層安全性 (TLS) 的所有憑證必須包含伺服器驗證物件識別碼 (亦稱為 OID)。如果您嘗試使用的 TLS 的憑證,在 [Enhanced Key Usage] 欄位中並未包含伺服器驗證 OID,則必須建立新憑證。

    如需相關資訊,請參閱建立 TLS 的憑證或憑證要求

  • 在驗證目前系統時鐘或簽章檔中的時間戳記時,發現所需的憑證不在其有效期內。   此狀態訊息指出系統時間不正確、憑證過期,或簽署此檔案的系統時間不正確。請確認下列條件均符合:

    • 本機電腦時鐘正確。

    • 憑證未過期。

    • 傳送端的系統時鐘正確。

    如果憑證過期,您必須產生新憑證。

    如需相關資訊,請參閱建立 TLS 的憑證或憑證要求

  • 憑證鏈結之有效期的巢狀結構不正確。   此狀態訊息指出,憑證鏈結已毀損或不可靠。請使用 New-ExchangeCertificate 指令程式來產生新憑證,或連絡您的憑證授權單位來驗證此憑證所使用的憑證鏈結。

  • 只可用作終端實體的憑證卻當成 CA 使用,反之亦然。   此狀態訊息指出,因為該憑證是由終端實體憑證發出,而非憑證授權單位發出的,所以憑證無效。終端實體憑證是針對特定應用程式加密用法而建立的憑證。請使用 New-ExchangeCertificate 指令程式來產生新憑證,或連絡您的憑證授權單位來驗證此憑證。

  • 憑證或簽章已遭撤銷。   請連絡您的憑證授權單位來解決此問題。

  • **憑證已遭其發照者明確撤銷。**請連絡您的憑證授權單位來解決此問題。

  • 撤銷功能無法檢查撤銷,因為撤銷伺服器已離線。   此狀態訊息指出,無法連接至憑證的撤銷伺服器。在某些情況下,這是暫時性錯誤,因為撤銷伺服器故障。否則,請確保此電腦可存取撤銷伺服器。如果在此電腦與撤銷的伺服器之間有防火牆或 Proxy 伺服器,請確保電腦已設定為周遊阻礙。

    如需相關資訊,請參閱如何針對網域安全性啟用 Edge Transport Server 的 PKI

  • 撤銷處理程序無法繼續。無法檢查憑證。   此狀態訊息指出,撤銷處理程序因為一般網路失敗而中斷。如果在此電腦與撤銷的伺服器之間有防火牆或 Proxy 伺服器,請確保電腦已設定為周遊阻礙。

    如需相關資訊,請參閱如何針對網域安全性啟用 Edge Transport Server 的 PKI