Windows-Server-2008

Exchange 2010 拒絕使用 UntrustedRoot 的 Amazon SES TLS

  • June 10, 2015

由於我們的網路設置,當我們去年轉移業務時,我們將 Exchange 2010 切換為使用AWS SES 來中繼我們的外發電子郵件。直到昨天,當 Exchange 開始無法與 SES 建立 TLS 連接時,這一直執行良好,並且在任何嘗試連接時,事件日誌中都會出現此錯誤

無法驗證連接器 Amazon SES 的智能主機的 TLS 證書。證書的證書驗證錯誤是 UntrustedRoot。如果問題仍然存在,請聯繫智能主機管理員解決問題。

我將 OpenSSL for Windows 放在盒子上並執行我在這個執行緒中找到的命令

openssl s_client -connect email-smtp.us-east-1.amazonaws.com:25 -starttls smtp

CONNECTED(000000EC)

depth=1 C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 Secure伺服器 CA - G4

驗證錯誤:num=20:無法獲取本地頒發者證書


證書鏈

0 s:/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email -smtp.us-east-1.amazonaws.com

i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4

1 s:/C=US/O= Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3

Secure Server CA - G4

i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc.

  • 僅供授權使用/CN=VeriSign Class 3 Public Primary Certification Authority - G5

伺服器證書

$$ removed for brevity $$

subject=/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email-smtp.us-east-1.amazonaws.com

issuer=/C=US/O=Symantec Corporation /OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4

—未

發送客戶端證書 CA 名稱


SSL 握手已讀取 3005 字節並寫入 708 字節


新,TLSv1/SSLv3,密碼為AES256-SHA

伺服器公鑰為 2048 位

支持安全重新協商

壓縮:無

擴展:無

無 ALPN 協商SSL-

會話:

協議:TLSv1

密碼:AES256-SHA

會話 ID:5576FCDBA77EB88DC9C2678EA399604E0A4543E5CFC0FA1E89F7320A7A84993C

Session-ID-ctx:

Master-Key: CBD8DEA48F07E570896E02CBDC0E1DA08F0DA1D4CA901522B05A9C6F66A3E4F9 811AA12DE24BA0C14402F5585C32BF05

Key-Arg : None

PSK identity: None

PSK identity hint: None

SRP username: None

Start Time: 1433861339

Timeout : 300 (sec)

Verify return code: 20 (unable to get local頒發者證書)

Linux 與 Windows 上的唯一區別是最後一行

驗證返回碼:20(無法獲取本地頒發者證書)

我懷疑這是 CA 鏈問題,但我該如何解決?執行集線器傳輸的伺服器是 Windows Server 2008 機器。

所以我終於找到了答案(其他人也有同樣的問題)。我是正確的,因為 CA 鏈失去了一些東西。這顯然是Verisign Class 3 Public Primary Certification Authority - G4(根據您的瀏覽器,它也被列為 Symantec)。您可以在https://www.amazonsha256.com/查看正在使用的新證書

我按照TechNet 的步驟安裝了新的根證書,這裡有一個小提示。他們沒有在任何地方提及它,但是如果您使用 CERTIFICATE 聲明並將其作為純文字保存在具有.cer副檔名的文件中,它將毫無問題地導入 Windows。

導入後 SES 再次工作。我不知道為什麼它在 MS 電腦商店而不是 IE 商店中失去。

引用自:https://serverfault.com/questions/697683