Exchange 2010 使用 UntrusedRoot 拒绝 Amazon SES TLS

Exchange 2010 使用 UntrusedRoot 拒绝 Amazon SES TLS

由于我们的网络设置,去年我们迁移业务时,我们将 Exchange 2010 切换为使用AWS SES 中继我们发出的电子邮件直到昨天,Exchange 开始无法与 SES 建立 TLS 连接,每次尝试连接时,事件日志中都会出现此错误。

无法验证连接器 Amazon SES 的智能主机的 TLS 证书。证书的证书验证错误为 UntrustedRoot。如果问题仍然存在,请联系智能主机的管理员以解决问题。

我在 Windows 上安装了 OpenSSL,然后运行了我发现的命令在此主题中

openssl s_client -connect email-smtp.us-east-1.amazonaws.com:25 -starttls smtp
CONNECTED(000000EC)
depth=1 C = US、O = Symantec Corporation、OU = Symantec Trust Network、CN = Symantec Class 3 Secure Server CA - G4
验证错误:num=20:无法获取本地颁发者证书
---
证书链
0 s:/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email-smtp.us-east-1.amazonaws.com
i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3
Secure Server CA - G4
i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc.
- 仅供授权使用/CN=VeriSign Class 3 Public Primary Certification Authority - G5
---
服务器证书
[为简洁起见已删除]
subject=/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email-smtp.us-east-1.amazonaws.com
issuer=/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
---
未发送客户端证书 CA 名称
---
SSL 握手已读取 3005 个字节并写入 708 个字节
---
新的,TLSv1/SSLv3,密码为 AES256-SHA
服务器公钥为 2048 位
支持安全重新协商
压缩:无
扩展:无
无 ALPN协商的
SSL 会话:
协议:TLSv1
密码:AES256-SHA
会话 ID:5576FCDBA77EB88DC9C2678EA399604E0A4543E5CFC0FA1E89F7320A7A84993C

会话 ID-ctx:
主密钥:CBD8DEA48F07E570896E02CBDC0E1DA08F0DA1D4CA901522B05A9C6F66A3E4F9 811AA12DE24BA0C14402F5585C32BF05
密钥参数:无
PSK 身份:无
PSK 身份提示:无
SRP 用户名:无
开始时间:1433861339
超时:300(秒)
验证返回代码:20(无法获取本地颁发者证书)

Linux 和 Windows 上唯一的区别是最后一行

验证返回代码:20(无法获取本地颁发者证书)

我怀疑这是 CA 链问题,但我该如何解决呢?运行 Hub Transport 的服务器是 Windows Server 2008 机器。

答案1

所以我终于找到了答案(其他人也遇到了同样的问题)。我的观点是正确的,CA 链缺少了一些东西。显然,这些东西就是Verisign 3 级公共主要认证机构 - G4(根据您的浏览器,也会列为 Symantec)。您可以在以下位置查看正在使用的新证书https://www.amazonsha256.com/

我关注了TechNet 安装新根证书的步骤这里还有一点小问题。他们没有在任何地方提到这一点,但如果您获取 CERTIFICATE 声明并将其以纯文本形式保存在带有.cer扩展名的文件中,它将导入 Windows 而不会出现任何问题。

导入后,SES 再次工作。我不知道为什么它在 MS 计算机商店中丢失,而在 IE 商店中却没有丢失。

相关内容