Я пытаюсь настроить Exchange Server 2013 только для IPv6, работающий на Server 2012 R2 Datacenter. Это установка на 1 машину в VirtualBox для тестирования.
Пока все работает нормально. Т.е. Я могу получить доступ к Exchange-OWA и отправлять и получать электронные письма почтовым провайдерам с поддержкой IPv6.
Однако мне все еще не удается подключить Outlook 2016. Похоже, это связано с моими сертификатами. Также Chrome / IE, обращающиеся к OWA, жалуются на сертификат, но это можно пропустить, а для Outlook 2016 это остановка.
Поэтому я установил роль центра сертификации на сервере, настроил ее (Enterprise-CA, Root-CA), создал сертификат в Exchange 2013, подписал его своим центром сертификации (веб-регистрация) и включил его в Exchange. Итак, если я обращаюсь к OWA с сервера, сертификат в порядке. Затем я скопировал сертификат на машину, на которой запущен мой Outlook-клиент, и импортировал его туда (Windows 10 Home Premium x64). Однако Chrome / IE по-прежнему жалуются на ненадежного эмитента. Мой сертификат отображается при просмотре хранилища сертификатов Windows, но если я проверяю Свойства обозревателя в Панели управления, я не вижу свой сертификат. Когда я пытаюсь добавить его туда, он говорит, что работает, но его нет в списке.
Необходимо ли каким-то образом, чтобы корневой ЦС (или подчиненный ЦС) был доступен клиентской машине для проверки того, что сертификат не был отозван? Или мне что-то еще не хватает? Если он должен быть в сети, есть ли способ обойтись без него? Это не производственная среда (и никогда не должна быть таковой), а просто тестирование на готовность к IPv6.
Что ж, я должен извиниться. Но вся эта тема для меня совершенно нова. Однако мне удалось найти решение своей проблемы самостоятельно:
Конечно, это не могло сработать, потому что я импортировал только сертификат Exchange-сервера в свой клиент. Это ссылается на мой частный корневой ЦС как на эмитента. Поскольку я не импортировал сертификат корневого ЦС, мой клиент никогда не мог доверять сертификату обмена, потому что он не мог проверить его с помощью сертификата корневого ЦС. Итак, после того, как я экспортировал сертификат корневого центра сертификации и импортировал его на моем клиенте в хранилище «Доверенные корневые центры сертификации», сертификат Exchange также стал доверенным. И впоследствии Outlook 2016 отлично подключается.
Хотя это решило мою исходную проблему, оно не отвечает на мой возникший вопрос: как можно отозвать сертификат без подключения к эмитенту? В моем магазине довольно много корневых сертификатов, у которых, похоже, нет какого-либо URL-адреса или IP-адреса, чтобы проверить статус их отзыва.
Что касается вашего исходного вопроса, проблема заключается в том, что у вашего клиента не было способа идентифицировать и проверить листовой сертификат. Чтобы любая машина могла делать то же самое, она должна иметь публичный сертификат корневого ЦС в своем хранилище доверенных сертификатов. Кроме того, вам не нужно было копировать листовой сертификат клиенту.
Что касается вопроса, который вы задали в своем ответе, пожалуйста, посмотрите на Википедия: Список отзыва TL; DR - вам нужно будет вручную распространить CRL, поскольку вы являетесь корневым центром сертификации и его ответственность