نظرًا لإعداد شبكتنا ، عندما قمنا بنقل عملنا العام الماضي ، قمنا بتبديل Exchange 2010 لاستخدام AWS SES لترحيل رسائل البريد الإلكتروني الصادرة . لقد عمل هذا بشكل جيد حتى يوم أمس ، عندما بدأ Exchange يفشل في إجراء اتصال TLS بـ SES مع وجود هذا الخطأ في سجلات الأحداث في أي وقت يحاول فيه الاتصال

Unable to validate the TLS certificate of the smart host for the connector Amazon SES. The certificate validation error for the certificate is UntrustedRoot. If the problem persists, contact the administrator of the smart host to resolve the problem.

لقد وضعت OpenSSL لنظام التشغيل Windows في المربع وقمت بتشغيل الأمر الذي وجدته في هذا الموضوع

openssl s_client -connect email-smtp.us-east-1.amazonaws.com:25 -starttls smtp
CONNECTED(000000EC)
depth=1 C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 Secure Server CA - G4
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
0 s:/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email-smtp.us-east-1.amazonaws.com
i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3
Secure Server CA - G4
i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc.
- For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
---
Server certificate
[removed for brevity]
subject=/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email-smtp.us-east-1.amazonaws.com
issuer=/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
---
No client certificate CA names sent
---
SSL handshake has read 3005 bytes and written 708 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 5576FCDBA77EB88DC9C2678EA399604E0A4543E5CFC0FA1E89F7320A7A84993C

Session-ID-ctx:
Master-Key: CBD8DEA48F07E570896E02CBDC0E1DA08F0DA1D4CA901522B05A9C6F66A3E4F9 811AA12DE24BA0C14402F5585C32BF05
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1433861339
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)

الفرق الوحيد بين ذلك في Linux و Windows هو السطر الأخير

Verify return code: 20 (unable to get local issuer certificate)

أظن أنها مشكلة في سلسلة CA ولكن كيف يمكنني إصلاح ذلك؟ الخادم الذي يقوم بتشغيل Hub Transport هو مربع Windows Server 2008.

answer

لذلك وجدت إجابة أخيرًا ( كان لدى الآخرين نفس المشكلة ). كنت محقًا في أن سلسلة CA تفتقد شيئًا ما. يبدو أن هذا الشيء هو المرجع المصدق الأساسي العام لـ Verisign Class 3 - G4 (والذي تم إدراجه أيضًا باسم Symantec اعتمادًا على متصفحك). يمكنك مشاهدة هذه الشهادة الجديدة قيد الاستخدام على https://www.amazonsha256.com/

لقد اتبعت خطوات TechNet لتثبيت شهادة جذر جديدة وهناك ملاحظة بسيطة واحدة هنا. لا يذكرون ذلك في أي مكان ولكن إذا أخذت إعلان الشهادة وحفظته كنص عادي في ملف .cerبامتداد ، فسيتم استيراده إلى Windows دون أي مشاكل.

بعد استيراد SES يعمل مرة أخرى. ليس لدي أي فكرة عن سبب فقدها من متجر كمبيوتر MS ولكن ليس من متجر IE.