我遇到了一个问题,不知道是否有人遇到过。我在 Server 2012R2 上运行着 Exchange 2016。我有一个来自 namecheap.com 的商业证书,这是一个通过 Comodo 到 USERTrust 的链式证书(我认为)。一切正常,然后,像往常一样,证书过期了,需要续订,所以我通过让证书过期的过程来续订它,然后在证书过期的第二天,进入 Exchange 证书向导并运行新的 CSR,然后将 CSR 提交给 Namecheap,让他们签名并将证书发送给我,然后将其应用到 Exchange 控制台向导中。没什么大不了的,我以前做过十几次了。
但现在除外。安装证书后,Exchange 返回错误消息“吊销检查失败”。显然,Sectigo 在一个月左右前购买了 Comodo,并已开始颁发与其自己的 CA 根证书(存在于 Windows 10 等最新操作系统中)绑定的证书,并使用旧的 USERTrust 根证书进行交叉签名。
我已经尝试了一切方法来消除这个错误信息:
1)使用 certutil 删除 CRL 和 OCSP 缓存
2)使用 psexec 将用户更改为系统用户,并使用 certutil 删除 CRL 和 OCSP 缓存
3) 从 win10 系统导出所有列出 Sectigo 名称的根 CA 证书,并将其导入 Server 2012R2 服务器 - 这只会在证书中查看时将证书验证路径更改为 Sectigo 根证书
4) 手动从 Microsoft 下载 380 个根 CA 证书,并将它们安装到根证书颁发机构中(好的一面是,我现在可以与我不会说其语言的外国网站进行 SSL 连接了,哈哈。你知道瑞士政府发布了一份我不知道的 CA 证书吗)
5)重新颁发证书(现已5次)
6)在系统帐户下验证 IE 没有使用“代理”访问互联网(谁会在邮件服务器上放置代理???)
7) 验证中间证书存储中是否存在所有中间链证书
8) 联系了 namecheap 支持人员,他们坚称该证书完全没问题。
在服务器上使用证书管理单元加载 mmc 时,显示链中的所有证书均无错误,全部标记为 OK。证书标记为 OK。我找不到任何诊断工具认为证书存在问题。
最后,我绝望地将 Exchange 中的服务更改为使用“吊销检查失败”证书,只是为了看看会发生什么 - 一切正常。访问 OWA 的任何 Web 浏览器都没有错误消息,任何机器上的 Web 浏览器都没有抱怨此证书的吊销错误,(甚至服务器上的 Web 浏览器也没有)在服务器本身上运行的 Web 浏览器访问 ECP 时没有错误,邮件正在流动,阳光明媚,凉风习习,世界一片欢乐。
除了那个仍然显示在 Exchange ECP 中的证书上的愚蠢的撤销错误。
Sectigo/Comodo 似乎是互联网上廉价 SSL 证书的首选来源 - 互联网上几乎每个“廉价 SSL 证书网站”都会转售他们的证书,因此所有这些网站都使用这个特定的连锁店。他们声称拥有互联网上 50% 的 SSL 证书,我相信他们,因为您必须疯了才会每年花 200 美元购买 godaddy 或小型企业邮件服务器的任何证书。简而言之,我找不到使用除此以外的任何其他连锁店的 CA,他们处于“廉价证书市场”中。Sectigo 的 MO 似乎是从他们自己的网站上出售昂贵的证书,并通过后门将相同证书的廉价版本出售给大量小公司(如 namecheap),他们的支持非常糟糕。我想这是为了让 RTFM 问题陷入困境。
我已在 Sendmail 服务器和 Web 服务器上使用过他们的证书,没有任何问题。但这些证书在安装时不会进行吊销检查。只有 Exchange 似乎会这样做。
我知道我可能应该忘掉它,但它让我很烦。在 Comodo 改名或被收购或诸如此类之前,一切都正常。