Как корректно поправить сертификаты в Exchange2013?

Всем привет!

Случилась неприятная история. На предприятии крутится exch2013, у которого пару недель назад истекал срок действия сертификата сервера. Человек, который разворачивал-админил этот самый почтовик, перевыпустил сертификаты, прикрепил их и покинул организацию.
После смены сертификатов случилось следующее:
- Некоторые клиенты, которые пользуются outlook на win10 перестали подключаться к серверу. Никакой связи не обнаружил, у всех разные версии outlook, разные пользователи в разных группах.
- Отвалились все клиенты, использующие evolution на linux (Alteros). Ругается на TLS подключение
Логи с самого почтовика, которые показались мне странными:
1. Microsoft Exchange не удалось загрузить сертификат с отпечатком 638A1***** из хранилища личных сертификатов на локальном компьютере. Этот сертификат настроен для проверки подлинности с другими серверами Exchange Server. Эта ошибка может повлиять на поток почты к другим серверам Exchange Server. Если сертификат с этим отпечатком все еще существует в хранилище личных сертификатов, выполните команду Enable-ExchangeCertificate 638A**** -Services SMTP для устранения проблемы. Если сертификат отсутствует в хранилище личных сертификатов, восстановите его из резервной копии с помощью командлета Import-ExchangeCertificate или создайте новый сертификат для полного доменного имени или сервера с поддержкой SMTP с помощью команды New-ExchangeCertificate -DomainName serverfqdn -Services SMTP. До этого будет использоваться сертификат с отпечатком AC94*****.
Источник MSExchange Certificate Deployment
Код 2005

2. Сертификат федерации или проверки подлинности не найден: B376*****. Не удалось найти сертификат на локальных и соседних объектах. Убедитесь, что в вашей топологии доступен сертификат, и при необходимости установите в качестве сертификата доверия федерации допустимый сертификат с помощью Set-FederationTrust или Set-AuthConfig. Распространение сертификата на локальных и соседних объектах может занять некоторое время.
Источник MSExchange Certificate Deployment
Код 2005


Что было сделано?
1.Проверены все службы Exchange на сервере. Работают корректно
2. Проверены сертификаты Exchange, скрин прикладываю:
654afe8632aeb237130667.jpeg
3.Включены:
EnableCompatibilityHttpListener = true
EnableCompatibilityHttpsListener = true

Не считаю себя спецом по exchange и по работе с сертификатами. Так уж получилось, что больше разбираться с этим некому, т.к сотрудник, который админил почтовик - увы, больше не работает и от него физически невозможно получить какие-то комментарии. Пока что спасает owa, но эта не панацея.
Буду очень благодарен за помощь!
  • Вопрос задан
  • 242 просмотра
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Внимание! Изменился адрес почты!
Evolution подключался напрямую, без davmail? Я просто не знаю ни одного клиента, способного зацепиться к эксчу (как к экчсу, а не как к IMAP-серверу), кроме оутлука.
Для установки в эксч нам приходится покупать честный и нехило дорогой сертификат с SAN, куда вписывается полное доменное имя типа owa.nichego.net и обязательно autodiscover.nichego.net ! Без автодисковера в сертификате хрен чего работать будет.
(То, что nichego.net меняется на свой домен - я думаю и так понятно)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы