6

У меня есть следующая конфигурация с Exchange Server 2010:

  • У меня есть самозаверяющий сертификат, который связан со всеми службами (POP, SMTP и т.д.), За исключением IIS (который связан с сертификатом, выданным Verisign, и отлично работает в веб-почте).
  • Когда я захожу на веб-почту (https://webmail.example.org/owa), она отлично работает.
  • Все клиенты Outlook настроены на использование локального имени сервера (например, DOMAIN.SERVER, поскольку они находятся в одной локальной сети), а не домена, с которым связана веб-почта.

Проблема в:

Когда пользователи подключаются к серверу Exchange (используя локальную локальную сеть) через Outlook 2010, отображается это предупреждение (на итальянском языке):

Ошибка несоответствия сертификата Outlook

Перевод: в нем говорится, что сертификат выдан авторизованным провайдером (в данном случае VeriSign), дата действительна, НО существует несоответствие имени (имя, указанное в сертификате, не соответствует имени сервера).

Если я нажимаю кнопку "Показать сертификат" (последнюю на рисунке выше), отображается сертификат, связанный с IIS: как это возможно? Я имею в виду, он должен использоваться только при подключении через веб-почту.

Есть ли способ избежать использования SSL-сертификата в локальной сети, но только для веб-почты?

Спасибо

ОБНОВИТЬ

Это предупреждение не отображалось в Exchange 2003: мы используем одни и те же сертификаты.

|источник

2 ответа2

4

Ваш сертификат предназначен для webmail.example.org . Если вы подключаетесь к вашему серверу Exchange через server.domain , то имя не будет совпадать с общим именем в сертификате, поэтому ошибка.

Вам либо нужен сертификат, который включает оба имени, либо вам всегда нужно использовать внешнее имя (даже в локальной сети).

Чтобы убедиться, что ваши клиенты используют внешний соединитель для ваших служб Exchange, вот несколько команд, которые могут помочь:

  • EXCHANGE-SERVER - это имя хоста вашего сервера Exchange
  • exchange-server.yourdomain.com - внешне видимое имя вашего сервера Exchange.

команды

Set-ClientAccessServer -Identity EXCHANGE-SERVER -AutoDiscoverServiceInternalUri https://exchange-server.yourdomain.com/Autodiscover/Autodiscover.xml

Enable-OutlookAnywhere -Server EXCHANGE-SERVER -ExternalHostname "exchange-server.yourdomain.com" -DefaultAuthenticationMethod "Basic" -SSLOffloading:$False

Set-OABVirtualDirectory -identity "EXCHANGE-SERVER\OAB (Default Web Site)" -externalurl https://exchange-server.yourdomain.com/OAB -RequireSSL:$true -InternalUrl https://exchange-server.yourdomain.com/OAB

Set-WebServicesVirtualDirectory -identity "EXCHANGE-SERVER\EWS (Default Web Site)" -externalurl https://exchange-server.yourdomain.com/EWS/Exchange.asmx -BasicAuthentication:$True -InternalUrl https://exchange.haseke.de/EWS/Exchange.asmx
|источник
1

Начать настройку сервера Exchange без доступа .local к внутренней сети. Для служб Exchange обязательно наличие SSL-сертификата. Старая практика настройки добавляет .local имена сама.

Недавно я обновил мой сервер обмена ssl с ssl2buy. Оттуда я услышал интересные новости о том, что CA/Browser из объявленного нового руководства о том, что ни один CA не может выдать ssl-сертификаты для имени хоста (имена NetBIOS) и доменных имен .local позднее октября 2014 года. Срок действия всех выпущенных в настоящее время ssl для поддержки имен .local должен истечь до октября 2015 года. Также Microsoft добавит это изменение в следующем обновлении.

Я проверил с Digicert, GeoTrust и Comodo. Все сказано одинаково. Поэтому я изменил конфигурацию своего сервера и удалил экземпляры .local. Если я не изменю это сейчас, придется сделать это в следующем году, но изменение наверняка.

Более интересно, что мой предыдущий ssl exchange от digicert был за 250 долларов +, а этот новый ssl comodo exchange всего за 45 долларов. Оба работают хорошо, и я не вижу никаких проблем.

Вы можете попробовать это там https://www.ssl2buy.com/comodo-multi-domain-ssl.php

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .