У нас есть сервер Exchange 2007, работающий на Windows Server 2008. Наш клиент использует почтовый сервер другого поставщика. Их политики безопасности требуют от нас использования принудительного TLS. До недавнего времени это работало нормально.
Теперь, когда Exchange пытается доставить почту на сервер клиента, он регистрирует следующее:
Не удалось установить безопасное подключение к защищенному домену домену «ourclient.com» на соединителе «Внешняя почта по умолчанию», поскольку не удалось выполнить проверку сертификата безопасности транспортного уровня (TLS) для ourclient.com со статусом «UntrustedRoot». Обратитесь к администратору ourclient.com для решения проблемы или удалите домен из списка защищенных доменов.
Удаление ourclient.com из TLSSendDomainSecureList приводит к успешной доставке сообщений с использованием условного TLS, но в лучшем случае это временное решение.
Клиент - чрезвычайно крупная, чувствительная к безопасности международная корпорация. Наш ИТ-специалист утверждает, что не знает о каких-либо изменениях в их сертификате TLS. Я неоднократно просил его указать полномочия, сгенерировавшие сертификат, чтобы я мог устранить ошибку проверки, но пока он не смог дать ответ. Насколько я знаю, наш клиент мог бы заменить свой действующий сертификат TLS на сертификат внутреннего центра сертификации.
Кто-нибудь знает способ вручную проверить сертификат TLS удаленного SMTP-сервера, как это можно сделать для сертификата удаленного сервера HTTPS в веб-браузере? Было бы очень полезно определить, кто выпустил сертификат, и сравнить эту информацию со списком доверенных корневых сертификатов на нашем сервере Exchange.
источник
openssl
он не поддерживает использование хранилища сертификатов Windows, поэтому проверка всегда будет неудачной.openssl x509 -noout -dates
для более короткого вывода.Я знаю, что это старый вопрос, но все еще актуальный вопрос даже сегодня для администраторов, желающих подтвердить действительность SSL-сертификата на своих почтовых серверах.
Вы можете посетить https://www.checktls.com и запустить тест бесплатно.
источник
Если у вас нет OpenSSL, вы также можете использовать этот фрагмент Python:
где [имя хоста] является сервером.
Источник: https://support.google.com/a/answer/6180220.
Это тянет за собой библиотеку OpenSSL, что делает установку немного проще.
источник