Из-за настройки нашей сети, когда мы перевели наш бизнес в прошлом году, мы переключили Exchange 2010 на использование AWS SES для ретрансляции исходящих писем. Это работало довольно хорошо до вчерашнего дня, когда Exchange начал отказывать в подключении TLS к SES с этой ошибкой в журналах событий каждый раз, когда он пытается подключиться.
Не удалось проверить сертификат TLS смарт-узла для коннектора Amazon SES. Ошибка проверки сертификата для сертификата - UntrustedRoot. Если проблема не исчезнет, обратитесь к администратору промежуточного хоста для решения проблемы.
Я поставил OpenSSL для Windows в коробку и выполнил найденную команду в этой теме
openssl s_client -connect email-smtp.us-east-1.amazonaws.com:25 -starttls smtp
ПОДКЛЮЧЕНО (000000EC)
depth = 1 C = США, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 Secure Server CA - G4
ошибка проверки: число = 20: невозможно получить сертификат местного эмитента
---
Цепочка сертификатов
0 с: /C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email-smtp.us-east-1.amazonaws.com
i: / C = US / O = Symantec Corporation / OU = Symantec Trust Network / CN = Symantec Class 3 Secure Server CA - G4
1 с: / C = US / O = Symantec Corporation / OU = Symantec Trust Network / CN = Symantec Class 3
Безопасный сервер CA - G4
i: / C = US / O = VeriSign, Inc./OU=VeriSign Trust Network / OU = (c) 2006 VeriSign, Inc.
- Только для авторизованного использования / CN = VeriSign Class 3 Public Primary Certification Authority - G5
---
Сертификат сервера
[удалено для краткости]
subject = / C = США / ST = Вашингтон / L = Сиэтл / O = Amazon.com, Inc./CN=email-smtp.us-east-1.amazonaws.com
эмитент = / C = US / O = Symantec Corporation / OU = Symantec Trust Network / CN = Symantec Class 3 Secure Server CA - G4
---
Имена ЦС сертификатов клиента не отправлены
---
Рукопожатие SSL прочитало 3005 байт и записало 708 байт
---
Новый, TLSv1 / SSLv3, шифр AES256-SHA
Открытый ключ сервера - 2048 бит
Поддерживается безопасное повторное согласование
Сжатие: НЕТ
Расширение: НЕТ
ALPN не согласована
SSL-сессия:
Протокол: TLSv1
Шифр: AES256-SHA
Идентификатор сеанса: 5576FCDBA77EB88DC9C2678EA399604E0A4543E5CFC0FA1E89F7320A7A84993C
Идентификатор сеанса-ctx:
Мастер-ключ: CBD8DEA48F07E570896E02CBDC0E1DA08F0DA1D4CA901522B05A9C6F66A3E4F9 811AA12DE24BA0C14402F5585C32BF05
Key-Arg: Нет
Идентификатор PSK: Нет
Подсказка идентичности PSK: Нет
Имя пользователя SRP: Нет
Время начала: 1433861339
Тайм-аут: 300 (сек)
Проверьте код возврата: 20 (невозможно получить сертификат местного эмитента)
Единственная разница между Linux и Windows - это последняя строка
Проверьте код возврата: 20 (невозможно получить сертификат местного эмитента)
Я подозреваю, что это проблема с цепочкой ЦС, но как это исправить? Сервер, на котором запущен транспортный концентратор, представляет собой коробку Windows Server 2008.
Итак, я наконец нашел ответ (у других была такая же проблема). Я был прав в том, что в цепочке CA чего-то не хватало. Это что-то, по-видимому, Государственный первичный центр сертификации Verisign класса 3 - G4 (который также отображается как Symantec в зависимости от вашего браузера). Вы можете увидеть этот новый сертификат в использовании на https://www.amazonsha256.com/
Я следил за Действия TechNet по установке нового корневого сертификата и здесь есть одно небольшое замечание. Они нигде не упоминают об этом, но если вы возьмете объявление CERTIFICATE и сохраните его как обычный текст в файле с .cer расширение, которое он импортирует в Windows без каких-либо проблем.
После импорта SES снова работает. Я понятия не имею, почему он отсутствовал в компьютерном магазине MS, но не в магазине IE.