我们最近从 Exchange 2003 迁移到了 2010。一半的 Outlook 用户使用与 Exchange 位于同一域的终端服务器中的 Outlook。另一半 Outlook 安装在不在域中的笔记本电脑上。他们通常使用 OpenVPN 连接到 Exchange(以及其他服务),但偶尔,当他们位于大多数传出端口被阻止的地方(主要是酒店)时,他们会使用 OutlookAnywhere。
我们有 2 个证书:一个用于“ourexchangeserver”,自签名,另一个用于“*.ourexternaldomain.tld”,由 StartCom 签名。
通过打开 EMC > 服务器配置 > Exchange 证书,我们可以将 IMAP、POP、SMTP 和 IIS 服务分配给给定的证书。
问题是 RPC 似乎也使用相同的证书。因此,当我们将通配符证书分配给 IIS 时,我们可以从外部访问 OWA 而不会出现任何安全警报,但 Outlook 会显示安全警报,指出主机名无效(与所提供证书上的颁发给字段不匹配)。
当我们将自签名证书分配给 IIS 时,情况正好相反:Outlook 不会抱怨,但浏览器在访问 OWA 时会显示相同的安全警报。
我的证书提供商(StartCom)不允许我生成颁发给缺少或不存在域部分的主机的证书。
是否可以使用这两个证书配置 Exchange 2010,以便 OWA 可以提供公共证书并且 RPC 流量将被自签名证书覆盖?
答案1
这个问题的常见答案是:
- 如果您的内部和外部域匹配,请获取通配符证书
- 如果不匹配,请多花一些钱购买许多 SSL 供应商提供的“Exchange SSL”证书
特殊证书上有多个主题备用名称,因此它们可以适用于各种名称。大概包括您的 OWA 和 RPC 服务的内部和外部名称。