最近在 Windows Server 2008 内部网络上设置了证书服务。
我设置了证书服务,生成了证书,将其放在域的受信任证书文件夹中,并将证书作为计算机 > Windows 设置 > 安全的组策略应用。证书管理器设置为独立根。
问题在于,该域设置为与 Web 域不对应的域。因此,我们使用虚拟主机在外部 IP 上公开我们的 Exchange Webmail。外部 DNS 管理器解析这些外部 IP 上相关子域的 A 记录。
当用户访问我们暴露于 HTTPS 的网络邮件或终端服务时,他/她会收到有关不受信任的证书的警告,因为该证书指定的是内部域(premiernic.com),而不是外部域(premier.com.cy)。
我希望通过组策略以同样的方式信任外部域名。我该怎么做?
答案1
如果您的所有客户端都由您控制,并且您已信任所有客户端上的根证书,则您可以向 Exchange Server 颁发一个新证书,其中包含两个名称作为 SAN 条目。看一看这里了解具体操作说明。
在 Exchange Server 上安装并启用此证书后,所有信任您的根 CA 证书的客户端都将接受这两个域名的此证书。
如果您有不信任根 CA 的外部客户端(非域客户端),他们仍会收到证书警告/问题。那么您将需要来自公共 CA 的证书。
另外,作为另一种变体,您可以设置 Exchange,使其对内部客户端也使用相同的(外部)域,并且仅使用具有外部名称的证书。 看看这个问题详情请见:
Get-WebServicesVirtualDirectory | Fl Identity,InternalUrl,BasicAuthenticationExternalUrl
Get-OabVirtualDirectory | Fl Identity,InternalURL,ExternalURL
Get-ActiveSyncVirtualDirectory | Fl Identity,InternalUrl,ExternalUrl
Get-OutlookAnywhere | Fl Server,ExternalHostname
Get-ClientAccessServer | Fl Server,AutoDiscoverServiceInternalURI