Exchange 2010 отклоняет Amazon SES TLS с помощью UntrusedRoot

Question

Exchange 2010 отклоняет Amazon SES TLS с помощью UntrusedRoot

В связи с настройкой нашей сети, когда мы перешли в прошлом году, мы переключили Exchange 2010 на использование AWS SES для ретрансляции наших исходящих электронных писем. Это работало довольно хорошо вплоть до вчерашнего дня, когда Exchange не смог установить соединение TLS с SES с этой ошибкой в журналах событий каждый раз, когда он пытается подключиться

Невозможно проверить сертификат TLS промежуточного узла для соединителя Amazon SES. Ошибка проверки сертификата для сертификата UntrustedRoot. Если проблема не устранена, обратитесь к администратору промежуточного узла для ее устранения.

Я положил OpenSSL для Windows на коробку и выполнил команду, которую нашел в этой теме

openssl s_client -connect email-smtp.us-east-1.amazonaws.com:25 -starttls smtp
CONNECTED (000000EC)
глубина =1 C = США, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 Secure Server CA - G4
ошибка проверки:num=20: невозможно получить сертификат локального эмитента
---
Цепочка сертификатов
0 с:/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email-smtp.us-east-1.amazonaws.com
i: / C = США /O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
1 с: / C = США /O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3
Безопасный сервер CA - G4
i: / C = US / O = VeriSign, Inc./OU=VeriSign Trust Network / OU = (c) 2006 VeriSign, Inc.
- Только для разрешенного использования / CN = Государственный первичный центр сертификации VeriSign класса 3 - G5
---
Сертификат сервера
[удалено для краткости]
subject = / C = США / ST = Вашингтон / L = Сиэтл / O = Amazon.com, Inc./CN=email-smtp.us-east-1.amazonaws.com
эмитент = / C = US /O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
---
Имена CA сертификатов клиентов не отправлены
---
SSL рукопожатие прочитало 3005 байтов и записало 708 байтов
---
Новый, TLSv1/SSLv3, шифр AES256-SHA
Открытый ключ сервера - 2048 бит
Безопасное пересмотр поддерживается
Сжатие: НЕТ
Расширение: НЕТ
Нет ALPN договорная
SSL-сессии:
Протокол: TLSv1
Шифр: AES256-SHA
Идентификатор сеанса: 5576FCDBA77EB88DC9C2678EA399604E0A4543E5CFC0FA1E89F7320A7A84993C

Session-ID-CTX:
Главный ключ: CBD8DEA48F07E570896E02CBDC0E1DA08F0DA1D4CA901522B05A9C6F66A3E4F9 811AA12DE24BA0C14402F5585C32BF05
Key-Arg: Нет
Личность PSK: нет
Подсказка идентичности PSK: нет
Имя пользователя SRP: Нет
Время начала: 1433861339
Тайм-аут: 300 (сек)
Проверьте код возврата: 20 (невозможно получить сертификат местного эмитента)

Единственная разница между этим в Linux против Windows в том, что последняя строка

Проверьте код возврата: 20 (невозможно получить сертификат местного эмитента)

Я подозреваю, что это проблема ЦС, но как я могу это исправить? Сервер, на котором работает Hub Transport, является Windows Server 2008.

0

windows-server-2008 ssl-certificate exchange-2010 tls amazon-ses

Источник

Machavity 09 июн '15 в 15:29

1 ответ

Решение

Другие вопросы по тегам windows-server-2008 ssl-certificate exchange-2010 tls amazon-ses

Machavity 10 июн '15 в 16:37 2015-06-10 16:37 · Accepted Answer · 2015-06-10 16:37

Поэтому я наконец нашел ответ (у других была такая же проблема). Я был прав в том, что в ЦС чего-то не хватало. Это что-то вроде публичного первичного центра сертификации Verisign Class 3 - G4 (который также указан как Symantec в зависимости от вашего браузера). Вы можете увидеть этот новый сертификат в использовании на https://www.amazonsha256.com/

Я выполнил шаги TechNet для установки нового корневого сертификата, и здесь есть одна небольшая заметка. Они нигде не упоминают об этом, но если вы возьмете декларацию CERTIFICATE и сохраните ее в виде простого текста в файле с .cer расширение будет импортировать в Windows без каких-либо проблем.

После импорта SES снова работает. Я понятия не имею, почему это отсутствовало в магазине компьютеров MS, но не в магазине IE.