之前我们已从 godaddy 为我们的主要域名申请了通配符 SSL 证书。原因之一是新建立的 Exchange Server 2010。通常您需要在证书中包含以下名称:
- FQDN(例如 mail.whatever.com)
- 主机名(邮件)
- 域名(whatever.com)
- Autodiscover.whatever.com
- MX 记录
使用通配符证书,这些都包括在内(本地主机名除外)。在创建/将 SSL 证书导入 Exchange 2010 期间,Exchange 首先询问是否使用通配符证书,然后遇到错误 -> 由于该证书是通配符证书,而不是专门为 FQDN 生成的证书,因此无法提供 POP 和 IMAP 的 SSL。
在 Google 上找不到任何解决方法或解决方案,所以我希望,也许有人可以给我一个答案或解决方案!:)
Exchange 2010 在 Windows Server 2008 R2 Enterprise 上运行。
提前感谢并致以最诚挚的问候,sise
答案1
不幸的是,你最好的选择是获得 UC 证书,这意味着放弃通配符并完全购买新证书。查看我的回答这里对于类似的问题。
答案2
嘘,UC 证书比普通证书更坑爹,而且主要因为 NAT 才需要。当 IPv6 得到广泛使用并且所有计算机都拥有一个真实地址时,这些将基本没有意义,因为您的服务器不需要解析防火墙内外的不同地址。
如果您使用双面 DNS 系统,则可以轻松处理此问题,该系统对于同一主机名向内部用户提供私有 (RFC1918) 地址,向外部用户提供服务器的公共地址。例如,来自内部服务器的 mail.example.com 返回 10.0.0.11,而来自外部服务器的 mail.example.com 返回 208.65.70.82。因此,当从内部连接到您的服务器时,您仍将使用 mail.example.com。
看一眼Microsoft 知识库文章 940726它解释了如何将所有 Exchange 服务的内部 URL 更改为与外部 URL 相同。它特别引用了此“解决方法”,适用于“无法”使用支持主题备用名称的证书的人。说实话,我认为随着 IPv6 的普及,此配置将成为 Exchange 的下一个或两个版本的默认配置。
我们还发现这对于移动用户来说确实非常棒,因为 mail.example.com 将解析为防火墙内部和外部的同一服务器,尤其是当他们使用 IMAP 之类的协议以及不支持“Outlook Anywhere”的客户端时。
对于您的 POP/IMAP 问题,请查看Microsoft 知识库文章 948896。基本上,您只需将 X509CertificateName 设置为用户将从中访问服务的 FQDN(使用Set-ImapSettings -X509CertificateName mail.example.com
或通过 GUI),而无需使用Enable-ExchangeCertificate
命令专门将证书分配给 IMAP 服务。
答案3
您确实可以使用 imap 和 pop 的通配符。rtfm 在这里:http://technet.microsoft.com/en-us/library/aa997231.aspx
:)
答案4
请注意,您可以在统一通信 (UC 或 SANS) 证书中使用通配符,这样您就拥有很多选择和灵活性。我见过很多帖子,人们在 Exchange 上使用通配符时遇到 POP 和 SMTP 问题。因此,在 UC 证书中使用通配符可能是一个不错的折衷方案。