我们继承了无法撤销的配置。以下是我们的配置:
内部域名是 contoso.com。我们不拥有 contoso.com,并且当前所有者不会出售。
邮件服务器的内部名称是 exchange2007.contoso.com
电子邮件域名是 contosointernational.com
OWA 访问是通过另一个缩短域 ctsi.com,即 exchange.csti.com/owa
我们想购买一个商业证书,使 activesync 能够工作、保护 owa 访问,并且仍允许电子邮件在内部工作。我们怎样才能做到这一点?
谢谢。
更新:
我们购买了单名证书(mail.ctsi.com),为 ctsi 创建了一个内部区域,为 mail.ctsi.com 创建了一个 A 记录以指向我们的 Exchange 服务器,然后将自动发现的连接点、ews、oab 和 UM Web 服务的内部 url 更新为 mail.ctsi.com(根据 KB940726),我们的问题得到了解决。
答案1
您可以购买 contosointernational.com 证书和 csti.com 证书,后者是 SAN(其中包含多个名称)或只有一个。从技术上讲,这并不重要。您最终要做的是为要在外部证书中实现的任何域创建一个内部 DNS 区域,并使用内部 IP 简单地指示资源的内部名称,例如 mail.csti.com 或 mail.contosointernational.com。但是,为了确保您能够解析服务器的实际外部名称(例如托管您的 www.contosointernational.com),您需要将 IP 添加到指向外部 IP 的内部区域。此外,您还需要使用 powershell 或 Exchange 控制台更改 OWA、客户端访问服务器和其他一些设置,以允许您的 Outlook 正确连接到 Exchange。我已经做了几十次了。它 100% 有效。只需确保您的内部区域中存在内部/外部邮件服务器的 A 记录。
您需要配置哪些确切的服务在互联网上的每个指南中都可以轻松看到,这些指南解释了如何在 2007/2010 Exchange 环境中实施 SSL 证书。
答案2
contoso.com 是 Microsoft 的测试问题示例域。如果可能的话,最好先从该域迁移到更独特的域。
答案3
由于该域名归他人所有,因此您无法将其作为域名放入证书中。对此您无能为力。
您可能能够让用户在网络内部使用内部生成的证书,而在网络外部为您拥有的域使用外部证书。
正如大多数人所建议的那样,我建议启动一个长期项目来更改域名。这是可以做到的,我接手过类似的糟糕情况,花了很长时间,但我们最终做到了。
答案4
Brian 是对的。您必须使用 2 个证书才能运行。
内部证书应由您的 AD 域的内部证书颁发机构签名。外部证书将使用您的邮件域。是的,这意味着您必须为 OWA/ActiveSync 运行两个单独的网站。
您还应该优先考虑迁移到新域名。查看什么是域名重命名?。我自己还没有尝试过,但看起来还算合理。要确保一切正常,还需要做很多工作。
编辑:实际上...我认为如果您将外部域添加为内部 URL,则只需一个证书即可。这可能有效。在服务器配置的客户端访问部分中查看服务器的 OWA 属性。