我们有一个客户端,其外部域为 abc.com,内部域为 xyz.local。我看到很多文章指出,对于 Exchange,您应该拥有一个多域证书,该证书包含外部域和内部域的主题备用名称。但是,我们有几个客户端的证书中只涵盖了外部名称,而且似乎运行正常。他们在 Outlook 中或访问 OWA 时没有收到 SSL 错误消息。有人能解释一下为什么需要涵盖外部和内部域名的证书吗?是否存在可以跳过内部域而不会产生任何后果的情况?
正如评论中指出的那样,我本可以更好地表述我的问题。有人能给出一个涵盖内部和外部域名的证书的充分理由吗?这是这篇 DigiCert 文章所建议的:http://www.digicert.com/ssl-support/exchange-2010-san-names.htm我也看到过 Microsoft TechNet 文章说过类似的话。
答案1
实际上这应该是乔的,因为他的评论基本上就是答案......但我想把它带回家:
有人能给出一些充分的理由来说明为什么要拥有涵盖内部和外部域名的证书吗?
大多数运行 Exchange 的商店都是为自己的员工运行的。因此,员工通常在 Exchange 服务器所在的内部 LAN 上使用自己的计算机工作,并将这些服务器解析为内部 DNS 名称。
同时,这些员工使用智能手机、在家办公、在旅途中工作等,需要通过 ActiveSync、Outlook Anywhere、OWA 访问才能使用 Exchange 服务器“服务”。因此需要解析到外部 DNS 名称。
通常,内部和外部域名并不相同(就主机名和域名而言)。
答案2
您在连接服务器时使用的名称是用于验证证书的名称,需要将其包含在内。但是,您用于连接的名称取决于您的设置:它可能只是一个内部名称,但如果您有拆分 DNS,它也可能是外部名称,即从内部或外部解析时同一主机名的不同 IP。