Foutmelding - Instellen wildcard-certificaat voor POP en IMAP levert logboekmeldingen op

In een omgeving met Exchange Server 2007 Service Pack 1 kunnen er zich problemen voordoen bij het installeren van een wildcard-certificaat. Wanneer met het volgende commando wordt getracht het certificaat te activeren voor POP en/of IMAP:

Enable-ExchangeCertificate -Thumbprint <reeks karakters> -Services POP, IMAP

dan verschijnen de volgende meldingen in de logboeken bij het starten van de POP en/of IMAP services:

Event Type: Error
Event Source: MSExchangePOP3
Event Category: General
Event ID: 2007
Description:
A certificate for the host name "*.domein.nl" could not be found. SSL or TLS encryption cannot be made to the POP3 service.

Event Type: Error
Event Source: MSExchangeIMAP4
Event Category: General
Event ID: 2007
Description:
A certificate for the hostname "*.domein.nl" could not be found. SSL or TLS encryption cannot be made to the IMAP service.

Event Type: Error
Event Source: MSExchangePOP3
Event Category: General
Event ID: 1102
Description:
The POP service failed to connect using SSL or TLS encryption. A valid certificate is not configured to respond to SSL/TLS connections. Check the configured hostname as well as which certificates are installed in the Personal Certificates store of the Computer.

Oorzaak

Dit probleem doet zich voor doordat de Exchange server geen overeenkomstig certificaat kan vinden wanneer er wordt geprobeerd een TLS sessie op te starten met een client. Het Enable-ExchangeCertificate commando stelt automatisch de X509CertificateName eigenschap (onzichtbaar) in voor de POP en IMAP instellingen door de domeinnaam te gebruiken dat wordt vermeld in het certificaat. De Exchange server gaat vervolgens op zoek naar een certificaat met een overeenkomende domeinnaam (FQDN), maar kan deze niet vinden.

Oplossing

Dit probleem is te verhelpen door Update Rollup 9 (of later) for Exchange Server 2007 Service Pack 1 of Exchange Server 2007 Service Pack 2 te installeren.

Na het installeren hiervan zullen de New-ExchangeCertificate en Enable-ExchangeCertificate commando's niet langer de X509CertificateName eigenschap automatisch instellen. Hierdoor werkt mogelijk de beveiligde toegang tot POP en/of IMAP niet meer. Dit kan alsnog handmatig worden ingesteld met de volgende commando's:

set-POPsettings -X509CertificateName <FQDN wat wordt gebruikt om toegang te krijgen tot POP, bijvoorbeeld pop.domein.nl>

set-IMAPsettings -X509CertificateName <FQDN wat wordt gebruikt om toegang te krijgen tot IMAP, bijvoorbeeld imap.domein.nl>

Tevens zullen Set-IMAPSettings en het X509CertificateName-eigenschap voor Set-POPSettings niet langer wildcard karakters accepteren.

Gerelateerde artikelen:

Microsoft Support - KB948896 (extern, engels)

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.