交换证书不匹配

交换证书不匹配

好的,我有两个子域名指向我工作中的 Exchange 机箱(Server 2008 上的 Exchange 2007)。内部子域名是 exchange.company.com,外部域名是 webmail.company.com。我们的 AD 域名与我们的网站域名同名。我们的 DNS 服务器在内部将 exchange.company.com 指向 Exchange 机箱,webmail.company.com 也是如此。Exchange.company.com 未指向外部 DNS 上的任何内容。

因此,为了让人们能够从外部访问他们的电子邮件并更轻松地处理电话等连接,前几天我购买了 GoDaddy SSL 证书并安装了它。不幸的是,GoDaddy 证书指向 webmail.company.com,而每个人的 Outlook 都指向 exchange.company.com。因此,人们不断收到“证书有效,但分配给它的域与它所在的域不匹配”之类的消息。我不记得确切的措辞了。

无论如何,我的问题是:如何设置一个证书(由我公司内部受信任的 CA 分发的证书)用于 MAPI,另一个用于 IIS?或者,更好的是,如果计算机以 webmail.company.com 的身份访问,则使用 GoDaddy,如果是 exchange.company.com,则使用内部 CA 证书。

答案1

由于您在评论中表示不想使用通配符证书,因此您需要 2 个 SSL 证书和 Exchange 服务器上的 2 个 IP 地址。

SSL 证书在 IIS 中每个 IP+端口组合绑定 1 个,因此通过向 Exchange 服务器添加第二个 IP,您可以分配回在购买新证书之前使用的原始内部生成的 SSL 证书,或分配另一个购买的引用 exchange.company.com 的 SSL 证书,然后将 webmail.company.com 分配给新的 IP 地址,同样在 IIS 中。

然后将您的外部端口转发指向新的第二个 IP 地址,并将 webmail.company.com 的 SSL 证书绑定到该地址。

虽然有点麻烦,但对你来说应该没问题。

答案2

更好的方法和最佳实践是使用 UC 证书,也称为 SAN(主题备用名称)证书。这里提供了一些关于 SAN 是什么以及它如何工作的重要信息。

但基本上,证书中包含多个名称,最有可能的是:netbios 服务器名称、本地服务器 FQDN、您的 webmail url 和自动发现 url

另外需要说明的是,我的其中一台服务器上也有类似的设置。它运行的是 Sharepoint 和 Exchange 2007。我有一个 SAN 证书,内容如下:

服务器名称、服务器名称.域.本地、自动发现.域.com、go.域.com、internal.域.com

这样,我的 Outlook 客户端就可以连接到 Exchange 而不会出现证书警告,也可以从内部和外部连接到我的 Sharepoint 和 OWA 站点而不会出现任何警告。这也使我的客户端能够使用具有自动发现功能的 Outlook Anywhere 进行连接。

这可能不是您想听到的答案,但是将 2 个单独的证书转而使用 SAN 可以为您省去使用 IIS 时的大量麻烦,无需多个 IP 地址、主机头等,您无需费心处理这些事情才能让其按您想要的方式工作。

答案3

作为 Exchange 实施的一部分,在 POP3 和 IMAP 上使用通配符可能会很棘手,尽管这是可以做到的。如果您浏览此网站,您会注意到绝大多数人都使用 UC 证书进行交换。

Exchange 2010 是否支持通配符 SSL 证书?

如果你决定使用通配符,你可能会发现SSLTools 管理器(适用于 Windows)有助于解决包括可怕的“名称不匹配错误”在内的错误。

答案4

只要你通过了 40 美元的 2 级验证,通配符证书即可免费获得http://www.startssl.com/

我在所有服务器(包括 Exchange 2010)上使用他们的证书。

相关内容