Exchange 2010 拒絕使用 UntrustedRoot 的 Amazon SES TLS
由於我們的網路設置,當我們去年轉移業務時,我們將 Exchange 2010 切換為使用AWS SES 來中繼我們的外發電子郵件。直到昨天,當 Exchange 開始無法與 SES 建立 TLS 連接時,這一直執行良好,並且在任何嘗試連接時,事件日誌中都會出現此錯誤
無法驗證連接器 Amazon SES 的智能主機的 TLS 證書。證書的證書驗證錯誤是 UntrustedRoot。如果問題仍然存在,請聯繫智能主機管理員解決問題。
我將 OpenSSL for Windows 放在盒子上並執行我在這個執行緒中找到的命令
openssl s_client -connect email-smtp.us-east-1.amazonaws.com:25 -starttls smtp
CONNECTED(000000EC)
depth=1 C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 Secure伺服器 CA - G4
驗證錯誤:num=20:無法獲取本地頒發者證書
證書鏈
0 s:/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email -smtp.us-east-1.amazonaws.com
i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
1 s:/C=US/O= Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3
Secure Server CA - G4
i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc.
- 僅供授權使用/CN=VeriSign Class 3 Public Primary Certification Authority - G5
伺服器證書
$$ removed for brevity $$
subject=/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email-smtp.us-east-1.amazonaws.com
issuer=/C=US/O=Symantec Corporation /OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
—未
發送客戶端證書 CA 名稱
SSL 握手已讀取 3005 字節並寫入 708 字節
新,TLSv1/SSLv3,密碼為AES256-SHA
伺服器公鑰為 2048 位
支持安全重新協商
壓縮:無
擴展:無
無 ALPN 協商SSL-
會話:
協議:TLSv1
密碼:AES256-SHA
會話 ID:5576FCDBA77EB88DC9C2678EA399604E0A4543E5CFC0FA1E89F7320A7A84993C
Session-ID-ctx:
Master-Key: CBD8DEA48F07E570896E02CBDC0E1DA08F0DA1D4CA901522B05A9C6F66A3E4F9 811AA12DE24BA0C14402F5585C32BF05
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1433861339
Timeout : 300 (sec)
Verify return code: 20 (unable to get local頒發者證書)
Linux 與 Windows 上的唯一區別是最後一行
驗證返回碼:20(無法獲取本地頒發者證書)
我懷疑這是 CA 鏈問題,但我該如何解決?執行集線器傳輸的伺服器是 Windows Server 2008 機器。
所以我終於找到了答案(其他人也有同樣的問題)。我是正確的,因為 CA 鏈失去了一些東西。這顯然是Verisign Class 3 Public Primary Certification Authority - G4(根據您的瀏覽器,它也被列為 Symantec)。您可以在https://www.amazonsha256.com/查看正在使用的新證書
我按照TechNet 的步驟安裝了新的根證書,這裡有一個小提示。他們沒有在任何地方提及它,但是如果您使用 CERTIFICATE 聲明並將其作為純文字保存在具有
.cer
副檔名的文件中,它將毫無問題地導入 Windows。導入後 SES 再次工作。我不知道為什麼它在 MS 電腦商店而不是 IE 商店中失去。