是的,我想颁发一个用于交换网络邮件访问的证书,因此我创建了一个针对 mail.domain.com(没有其他域)的请求。
然后,我完成了证书请求并将其导入,并将“IIS”服务颁发给新证书,所有其他服务仍根据本地分配的证书进行分配。
但是,当我打开 Outlook 时,出现以下信息:
哪个 Outlook 看到的是颁发给 CN: mail.domain.com 的证书,但本地服务器称为 exchangeserver.local,因此名称不匹配。我尝试将自动发现和本地名称添加到证书中,但没有任何区别,我遗漏了什么???
答案1
按照 MichelZ 的建议更改内部服务器名称,是一种选择,但就我个人而言,我觉得在证书中的 SAN(主题备用名称)字段中添加一堆名称要容易得多。
例如,我管理的企业 Exchange 服务器在证书上有 17 个 SAN - 因此用户可以使用 18 个名称来访问邮件服务器而不会产生证书错误。
答案2
您需要将“内部 URL”更改为外部名称,最好将外部名称的 DNS 更改为内部 DNS 上的内部服务器 IP
Set-WebServicesVirtualDirectory -Identity "EXCH-1\EWS (Default Web Site)" -InternalURL https://mail.domain.com/EWS/Exchange.asmx -BasicAuthentication:$true
Set-OabVirtualDirectory -Identity "EXCH-1\OAB (Default Web Site)" -InternalUrl https://mail.domain.com/OAB
Set-ActiveSyncVirtualDirectory -Identity "EXCH-1\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl "https://mail.domain.com/Microsoft-Server-ActiveSync"
Enable-OutlookAnywhere -Server EXCH-1 -ExternalHostname mail.domain.com -ClientAuthenticationMethod Basic -SSLOffloading:$false
阅读这里更多细节
答案3
Exchange 证书可能需要各种 SAN(主题备用名称),具体取决于要访问服务器的名称;通常,对于单服务器设置,这至少需要三个 SAN:
- mail.domain.com - 您的服务器的外部主机名
- servername.domain.local - 您的服务器的内部主机名
- autodiscover.domain.com - 自动发现您的 SMTP 域
不过,您的情况可能会有很大不同,具体取决于您的服务器配置;内部和外部 DNS 名称可以相同,并且可能不需要自动发现。
简而言之:如果您使用证书 SAN 中未包含的名称访问您的服务器,您将收到该错误。
答案4
虽然 MichelZ 的答案是正确的(我无论如何都会敦促您这样做),但我可以理解如果您在工作时间在生产交换环境中这样做可能会有些犹豫。为了快速临时修复,直到您可以实施正确的解决方案,您可以尝试在内部域正向查找区域 _tcp 容器中查找 _autodiscover srv 记录。如果没有出现,请创建一个名为“_autodiscover”的新 srv 记录,协议:_tcp 优先级:0 权重:0 端口号:443,并使用您的外部名称作为主机产品(确保您已经创建了 A 或 CNAME 记录。)要使其正常工作,所有受影响的客户端都需要清除其 DNS 缓存,但它应该会停止警告弹出窗口,直到您有时间执行 Michel 的答案。