Kami memiliki server Exchange 2007 yang berjalan di Windows Server 2008. Klien kami menggunakan server email vendor lain. Kebijakan keamanan mereka mengharuskan kami untuk menggunakan TLS yang dipaksakan. Ini berfungsi dengan baik sampai saat ini.
Sekarang, ketika Exchange mencoba mengirim email ke server klien, ia mencatat berikut ini:
Koneksi aman ke domain aman domain 'ourclient.com' pada konektor 'Default external mail' tidak dapat dibuat karena validasi sertifikat Transport Layer Security (TLS) untuk ourclient.com gagal dengan status 'UntrustedRoot. Hubungi administrator dari ourclient.com untuk menyelesaikan masalah, atau hapus domain dari daftar yang diamankan oleh domain.
Menghapus ourclient.com dari TLSSendDomainSecureList menyebabkan pesan berhasil terkirim menggunakan TLS oportunistik, tetapi ini adalah solusi sementara yang terbaik.
Klien adalah perusahaan internasional yang sangat besar, peka terhadap keamanan. Kontak IT kami di sana mengklaim tidak mengetahui adanya perubahan pada sertifikat TLS mereka. Saya telah memintanya berulang kali untuk mengidentifikasi otoritas yang menghasilkan sertifikat sehingga saya dapat memecahkan masalah kesalahan validasi, tetapi sejauh ini dia tidak dapat memberikan jawaban. Sejauh yang saya tahu, klien kami dapat mengganti sertifikat TLS mereka yang valid dengan sertifikat dari otoritas sertifikat internal.
Adakah yang tahu cara untuk memeriksa secara manual sertifikat TLS server SMTP jarak jauh, seperti yang dapat dilakukan untuk sertifikat server HTTPS jarak jauh di peramban web? Akan sangat membantu untuk menentukan siapa yang mengeluarkan sertifikat dan membandingkan informasi itu dengan daftar sertifikat akar tepercaya di server Exchange kami.
openssl
tidak mendukung menggunakan toko sertifikat Windows, jadi itu akan selalu gagal validasi.openssl x509 -noout -dates
untuk output yang lebih pendek.Saya tahu ini adalah pertanyaan lama, tetapi masih merupakan pertanyaan yang relevan bahkan hingga hari ini untuk admin yang ingin mengonfirmasi validitas Sertifikat SSL di server email mereka.
Anda dapat mengunjungi https://www.checktls.com dan menjalankan tes gratis.
sumber
Jika Anda tidak memiliki OpenSSL, Anda juga dapat menggunakan potongan Python ini:
di mana [nama host] adalah server.
Sumber: https://support.google.com/a/answer/6180220
Ini menarik pustaka OpenSSL untuk Anda, yang membuat instalasi sedikit lebih mudah.
sumber