为什么我们需要在 Exchange 2010 的 UCC 证书中将我们的 CAS 服务器列为 SAN?

为什么我们需要在 Exchange 2010 的 UCC 证书中将我们的 CAS 服务器列为 SAN?

我们目前在硬件平衡器后面有几台 CAS/Hub 服务器。Microsoft 和 Digicert 告诉我们,我们可能不需要将它们列为 UCC 证书中的 SAN,因为我们不会向用户公开它们的主机名。

但是,当我们尝试将 UCC 证书应用到我们的 CAS 服务器(没有将它们单独列为 SAN)时,我们从 Outlook 收到了如下错误:

在此处输入图片描述

有人知道什么配置或设置会导致 CAS 服务器主机名被暴露吗?

附言:我知道我们不应该使用假 TLD。我们正在努力尽快解决这个问题。

更新(2014 年 5 月 6 日)

我进行了大量配置:

Get-WebServicesVirtualDirectory | Fl Identity,InternalUrl,BasicAuthenticationExternalUrl
Get-OabVirtualDirectory | Fl Identity,InternalURL,ExternalURL
Get-ActiveSyncVirtualDirectory | Fl Identity,InternalUrl,ExternalUrl
Get-OutlookAnywhere | Fl Server,ExternalHostname
Get-ClientAccessServer | Fl Server,AutoDiscoverServiceInternalURI

唯一引用我们假冒 TLD 内部主机名的是最后一个。但这不只是为了自动发现吗?为什么内部客户端每次启动时都会引用它?

答案1

这是设计使然。自动发现在内部和外部进行,并且恰好默认使用内部 CAS 服务器名称。

正如您已经知道的那样,您需要将所有服务更改为使用外部 URL 作为内部 URL,否则您的内部客户端将收到证书错误。

相关内容