在尝试测试从 Microsoft Dynamics CRM 电子邮件路由器访问时出现错误消息:"传入状态︰ 失败-基础连接已经关闭︰ 未能建立信任关系为 SSL/TLS 安全通道"

适用于: Microsoft Dynamics CRM 2011Dynamics CRM 4.0

症状


配置 Microsoft Dynamics CRM 电子邮件路由器访问的邮箱所在的服务器上运行 Exchange Server 2007年或 Exchange Server 2010年上。当您尝试测试邮箱访问权限时,您将收到以下错误消息︰
传入状态︰ 失败-基础连接已经关闭︰ 未能建立 SSL/TLS 安全通道的信任关系。根据验证过程,远程证书无效。
如果您使用自签名的证书,将出现此问题。

原因


一个或多个以下原因而出现此问题:
原因 1 Microsoft Dynamics CRM 电子邮件路由器使用 Microsoft.NET 库进行证书验证。Microsoft Dynamics CRM 电子邮件路由器不支持自签名的证书。

原因 2您在 Microsoft Dynamcis CRM 电子邮件路由器中的传入配置文件中指定的 URL 不匹配对 Microsoft Exchange 网站证书的 URL。

解决方案


解决方案 1
在运行 Exchange Server 2007年的服务器或 Exchange Server 2010年上实现一个签署的证书。

解决方案 2
请验证您在 Microsoft Dynamcis CRM 电子邮件路由器中的传入配置文件中指定的 URL 匹配对 Microsoft Exchange 网站证书的 URL。

若要验证您在 Microsoft Dynamics CRM 电子邮件路由器指定传入配置文件的 URL,请完成其中安装 Microsoft Dynamics CRM 电子邮件路由器的计算机上执行以下步骤︰
  1. 单击开始,单击所有程序Microsoft Dynamics CRM 电子邮件路由器,请都单击,然后都单击Microsoft CRM 电子邮件 Router.exe
  2. 单击配置文件选项卡,打开传入配置文件,然后记下在服务器字段中的 URL。
注意:要验证您的证书,请复制此 URL,并将其粘贴到 Internet Explorer 浏览器。 证书是有效的如果不出现任何错误或警告。

若要检查您的证书有哪些 URL,请在您的 Windows 2008 Microsoft Exchange Server 上执行以下步骤︰
  1. 单击开始,单击运行,键入Inetmgr,然后单击确定
  2. 选择您的服务器,然后单击预览窗格中的服务器证书
  3. 打开用于您的 Microsoft Exchange Server 证书。
  4. 请注意在证书中指定的 URL。 请验证它与您在 Microsoft Dynamics CRM 电子邮件路由器在上述步骤 2 中找到的传入配置文件中指定的 URL 相匹配。


若要检查您的证书有哪些 URL,请在您的 Windows 2003 Microsoft Exchange Server 上执行以下步骤︰
  1. 单击开始,单击运行,键入Inetmgr,然后单击确定
  2. 找到您交换的网站。
  3. 交换网站,用鼠标右键单击,然后单击属性
  4. 单击目录安全性选项卡,单击查看证书,然后记下在证书中指定的 URL。 请验证它与您在 Microsoft Dynamics CRM 电子邮件路由器在上述步骤 2 中找到的传入配置文件中指定的 URL 相匹配。

详细信息


有三种主要类型的数字证书的如下所述︰
  • 自签名的证书︰ 一个自签名的证书签名的应用程序。证书使用者与证书的名称相匹配。颁发者和使用者定义的证书中。通过使用自签名的证书,某些客户端协议可以使用安全套接字层 (SSL) 通信。
  • Windows PKI 生成证书︰ 公钥基础结构 (PKI) 是一个系统的数字证书、 证书颁发机构,以及注册机构。PKI 使用公钥加密来检查和验证电子事务中使用的每一方的有效性。证书颁发机构使用 Active Directory 目录服务的组织中实现时,您提供一个基础结构,证书生命周期管理、 续订、 信任管理和吊销。但是,一些额外的成本需要部署服务器和基础结构,用于创建和管理 Windows PKI 生成证书。证书服务需要部署 Windows PKI。可以使用控制面板中的添加或删除程序项来在域中所有服务器上安装证书服务。

    有关 Windows Server 2003 的 PKI 的详细信息,请访问下面的 Microsoft 网站︰有关最佳做法实现 Windows PKI 的详细信息,请访问下面的 Microsoft 网站︰有关如何部署基于 Windows PKI 的详细信息,请访问下面的 Microsoft 网站︰
  • 第三方证书︰ 第三方证书或专业证书是由第三方证书颁发机构或由商业证书颁发机构生成的证书。购买这些证书,然后在服务器上使用的证书。客户端计算机和移动设备不会自动信任自签名的证书和 Windows PKI 生成证书。因此,您必须将证书导入受信任的根证书存储在客户端计算机和移动设备上。但是,大多数第三方证书或专业证书已经存在的受信任的根证书存储中。因此,通过使用第三方证书或专业证书简化了部署过程。对于较大的企业或组织为其公开必须部署证书,使用第三方证书或专业证书可能是一个不错的解决方案即使必须支付证书。但是,第三方证书或专业证书可能不是很好的解决方案,为小型企业或中小型企业。您可以使用其他可用小型企业和中型企业的证书类型。

参考资料


有关如何管理客户端访问服务器的 SSL 的详细信息,请访问下面的 Microsoft 网站︰有关如何配置 SSL 证书,以使用多个客户端访问服务器的主机名称的详细信息,请访问下面的 Microsoft 网站︰有关如何在 Windows 移动供电设备上安装 SSL 证书的详细信息,请访问下面的 Microsoft 网站︰有关如何配置 Outlook Web 访问虚拟目录使用 SSL 的详细信息,请访问下面的 Microsoft 网站︰有关 Exchange Server 2007年中使用的证书的详细信息,请访问下面的 Microsoft 网站︰