根据下面的信息,我们可以判断出该证书是自签名的证书:
IsSelfSigned : True
我建议用户从第三方商业机构申请证书或者从安装Windows CA来颁发证书,通过import-exchangecertificate命令导入该证书,然后通过Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services "POP, IMAP" 为该证书启用POP3服务,在测试一下,看结果如何。
同时我又让用户在Exchange 服务器上运行下面的命令来检查POP3的相关设置:
Get-popsettings | fl
Name : 1
ProtocolName : POP3
MaxCommandSize : 45
MessageRetrievalSortOrder : Descending
UnencryptedOrTLSBindings : {0000:0000:0000:0000:0000:0000:0.0.0.0:110,
0.0.0.0:110}
SSLBindings : {0000:0000:0000:0000:0000:0000:0.0.0.0:995,
0.0.0.0:995}
X509CertificateName : servername
Banner : The Microsoft Exchange POP3 service is read
y.
LoginType : PlainTextLogin
我发现Logintype设置不正确,POP3有三种身份验证方法,分别是PlainTextLogin、PlainTextAuthentication和SecureLogin。说到这里,我们不得不解释每种身份验证方法的具体含义。
PlainTextLogin表示端口 110 上不需要 TLS 加密。
PlainTextAuthentication表示端口 110 上不需要 TLS 加密。但是,只允许在使用 TLS 或 SSL 加密的端口上使用基本身份验证。
SecureLogin 表示执行身份验证之前,端口 110 上的连接必须使用 TLS 加密。
因此,正确的设置应该是SecureLogin。我让用户运行下面的命令来修改:
Set-popsettings -logintype SecureLogin
此外,我还发现下面的信息:
X509CertificateName : servername
这时,用户打开Outlook时出现下面的信息:
您连接的服务器正在使用一个无法验证的安全证书.
证书的CN名给传递的值不匹配.
你想继续使用这个服务器吗?
看到该信息,说明前面的步骤已经生效了,该错误只是说明证书的名称和POP3中设置的服务器名称不一致。
我让用户仔细检查图2中接收服务器中设置的服务器名称是否和X509CertificateName中的名称一致,用户发现它填写的是服务器的IP地址,在修改为与X509CertificateName一致的名称后,打开Outlook后,不会出现任何告警信息,问题到此已经解决。
更多内容请看SSL技术专题、POP3协议、微软邮件服务器专题,或进入讨论组讨论。
相关专题
- SSL技术专题 (300篇文章)
- POP3协议 (117篇文章)
- 微软邮件服务器 (792篇文章)
- Exchange服务器 (775篇文章)
- 用Gene6让FTP服务搭建平民化 (120次浏览)
- 如何轻松实现服务器远程备份 (111次浏览)
- Windows 2008之服务器管理控制台解析 (62次浏览)
- 用AD组策略------控制客户端本地组 (58次浏览)
- 保护DNS服务器十大技巧 (48次浏览)
- 从权限入手排障GENE FTP远程管理 (41次浏览)
- 将网站从IIS7中批量迁移另外一台IIS7 (40次浏览)
- 服务器管理 向远程维护要效率 (36次浏览)
- 只读域控制器在Server Core中的部署 (30次浏览)
- 在Debian环境下架设PPPoE服务器方法 (28次浏览)
