我对 Exchange Server 2010 有以下配置:
- 我有一个自签名证书,它与除 IIS 之外的所有服务(POP、SMTP 等)相关联(它与 Verisign 颁发的证书相关联,并且在网络邮件上运行良好)。
- 当我访问网络邮件时(https://webmail.example.org/owa),它运行完美。
- 所有 Outlook 客户端都配置为使用服务器的本地名称(如 DOMAIN.SERVER,因为它们位于同一个 LAN 上),而不是与 Webmail 关联的域。
问题是:
当用户通过 Outlook 2010 连接到 Exchange Server(使用本地 LAN)时,会显示此警告(意大利语):
翻译:它说该证书是由授权提供商(在本例中为 VeriSign)颁发的,日期有效,但名称不匹配(证书上写的名称与服务器的名称不对应)。
如果我按下“显示证书”按钮(上图中的最后一个按钮),则会显示与 IIS 关联的证书:这怎么可能呢?我的意思是,它只能在通过 Webmail 连接时使用。
有没有办法避免在本地 LAN 中使用 SSL 证书,而只用于网络邮件?
谢谢
更新
Exchange 2003 中没有显示此警告:我们正在使用相同的证书。
答案1
您的证书适用于webmail.example.org。如果您通过 连接到 Exchange 服务器server.domain,则名称将与证书中的通用名称不匹配,因此会出现错误。
您要么需要一个包含两个名称的证书,要么始终必须使用外部名称(即使在 LAN 上)。
为了确保您的客户端使用外部连接器来访问您的 Exchange 服务,以下几个命令可能会有所帮助:
EXCHANGE-SERVER是您的 Exchange 服务器的主机名exchange-server.yourdomain.com是您的 Exchange 服务器的外部可见名称
命令
Set-ClientAccessServer -Identity EXCHANGE-SERVER -AutoDiscoverServiceInternalUri https://exchange-server.yourdomain.com/Autodiscover/Autodiscover.xml
Enable-OutlookAnywhere -Server EXCHANGE-SERVER -ExternalHostname "exchange-server.yourdomain.com" -DefaultAuthenticationMethod "Basic" -SSLOffloading:$False
Set-OABVirtualDirectory -identity "EXCHANGE-SERVER\OAB (Default Web Site)" -externalurl https://exchange-server.yourdomain.com/OAB -RequireSSL:$true -InternalUrl https://exchange-server.yourdomain.com/OAB
Set-WebServicesVirtualDirectory -identity "EXCHANGE-SERVER\EWS (Default Web Site)" -externalurl https://exchange-server.yourdomain.com/EWS/Exchange.asmx -BasicAuthentication:$True -InternalUrl https://exchange.haseke.de/EWS/Exchange.asmx
答案2
开始配置没有 .local 内部网络访问的 Exchange 服务器 Exchange 服务强制要求 SSL 证书。旧做法配置本身添加 .local 名称。
最近我从 ssl2buy 更新了我的 Exchange 服务器 SSL。我从那里听到一个有趣的消息,CA/Browser 宣布了新指南,即 2014 年 10 月以后没有 CA 可以为主机名(NetBIOS 名称)和 .local 域名颁发 SSL 证书。目前为 .local 名称支持颁发的所有 SSL 应该在 2015 年 10 月之前到期。此外,Microsoft 将在下一次更新中添加此更改。
我向 Digicert、GeoTrust 和 Comodo 查询过。它们都说一样。所以我更改了服务器配置并删除了 .local 实例。如果我现在不更改,明年就得改了,但更改是肯定的。
更有趣的是,我之前从 digicert 购买的 exchange ssl 价格为 250 美元以上,而这个新的 comodo exchange ssl 价格仅为 45 美元。两者运行良好,我没有发现任何问题。