如何修复交换联邦证书过期错误
如何修复交换联邦证书过期错误
您可能会突然看到错误,服务器上的Exchange代表团联合会已过期。
通常,这是由混合配置向导自动创建的自签名证书。
交换用户共享免费/繁忙的信息很有帮助。
因此,它有效期为5年,因此它是一个忽略其到期的机会。
但是,5年后,这将到期,因此您必须在它到期之前续订它。
但是,如果已经过期了怎么办?
如果已过期,则必须重新创建一个新的并替换旧的。
在本文中,如果已经过期,我们将看到如何重新创建联邦证书。
在这种情况下,联邦证书已经过期。
重新创建联邦证书的重要步骤
- 联邦证书已经过期
- 我们必须删除联合域
- 删除联邦信托
- 创建新的联邦证书
- 必须将新证书配置为联邦证书
- 更新外部域中的TXT记录,作为域名的联邦证明
- 在所有交换服务器上验证新联邦证书
- 更新联邦信托的元数据
- 最后添加联合域
如何修复Microsoft Exchange 2019中的联邦证书过期错误
首先,让我们运行以下CMDLET以复制过期的证书指标。
Get-ExchangeCertificate
如果您的证书未过期,则可以运行以下CMDLET进行续订。
Get-ExchangeCertificate -Thumbprint 12ED6C07(yourexpiredthumbprint)8E6 | New-ExchangeCertificate -Force -PrivateKeyExportable $true众所周知,我们的证书已经过期,因此我们必须审查FederatedOranization Indentidifier并将其删除。
删除联合域
要获取FederatedOranizatizationSidentifier,请运行以下CMDLET
Get-FederatedOrganizationIdentifier | Format-List AccountNamespace,Domains您将获得关联的域。
如果您具有子域或多个域,我们必须先删除它们。
之后,您必须终于删除默认域。 (我们列出了一个域)
因此,要删除默认域运行以下cmdlet
Remove-FederatedDomain -DomainName yourdomain –Force
一旦联邦域被拆除。
您可以通过CMDLET进行交叉检查
Get-FederatedOrganizationIdentifier您将在空白域中获得以下结果
现在我们必须删除联邦信托
删除联邦信托
要删除联邦信托,我们必须运行以下CMDLET
Remove-FederationTrust "Microsoft Federation Gateway"您会看到以下结果
联合信托现在已删除。
现在我们必须重新创建新的联邦自签名证书
要创建新的联邦信托,请运行以下CMDLET。
$ski = [System.Guid]::NewGuid().ToString("N")
New-ExchangeCertificate -FriendlyName "Exchange Delegation Federation" -SubjectName "CN = Federation" -DomainName yourdomainName -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
运行上述cmdlet后,您将看到下面的结果
您将获得一个新的指纹,因此请在记事本中记下新的指纹。
执行上述步骤后,通过运行CMDLET检查交换证书
Get-ExchangeCertificate现在有两个联邦证书,一个是旧的,另一个是新创建的。
现在我们必须建立一个新的联邦信托
建立新的联邦信托
要创建新的联邦信托,您已运行以下CMDLET
注意:确保输入您的指标
Get-ExchangeCertificate -Thumbprint DBF82YOurNewThumbprint4B79619| New-FederationTrust -Name "Microsoft Federation Gateway"运行上述CMDLET后
您将获得下面的结果
现在,如果您看到Get-ExchangeCertificate CMDLET,您将看到分配了新的联邦服务。
现在,我们必须为我们的域生成联合域的证明以验证域所有权,并将在我们的外部DNS区域中更新TXT记录
要生成域的证明,我们必须运行以下CMDLET
Get-FederatedDomainProof –DomainName yourdomain.com它将显示如下
因此,现在您必须更新外部DNS区域上的给定TXT记录。
完成并正确传播TXT记录后,我们可以通过运行以下CMDLET来更新联邦信托
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Microsoft Federation Gateway" -AccountNamespace icewolf.ch -Enabled $true要交叉检查,我们可以运行CMDLETfet-federatedOranizationIdentifier
您将获得以下结果
下一步是通过运行CMDLET刷新联邦信托
Set-FederationTrust -RefreshMetadata -Identity "Microsoft Federation Gateway"
在进一步移动之前,请尝试检查联邦证书是否已安装。
运行CMDLET
Test-FederationTrustCertificate您应该看到已安装的状态结果。
现在是时候通过运行CMDLET测试联邦信托了
测试 - 融合trust
如果您运行简单的CMDLET,则可能会出现错误。
因此,最好与用户一起运行
Test-FederationTrust –UserIdentity “Administrator”您应该将所有结果取得成功
删除过期联邦证书
完成上述所有步骤后,如果将结果视为成功。
您现在可以删除过期的证书。
要删除过期的证书运行以下CMDLET。
Remove-ExchangeCertificate -Thumbprint B2F(YourExpiredThumbprint)3B0A7BB6因此,删除了过期证书后。
现在,您可以尝试登录到Exchange Admin面板以检查错误是否消失。
如您所见,下图显示我们的错误现在已解决。
现在没有与过期联邦证书有关的错误,我们的新联邦证书是有效的。
结论
我们看到了如果即将到期或已经过期,我们如何续订和重新创建联邦证书。
因此,我们修复了错误,交换联盟证书已过期
最好始终关注交换证书,并在它们到期之前续订。
希望您喜欢这篇文章,您可能还会喜欢Microsoft Exchange Server学习的更多信息
注册完整的交换管理课程
如果与此帖子有关的任何查询,请随时与我们联系[电子邮件保护]