Exchange 2010 - 内部 Outlook 2013 连接上的证书错误

Exchange 2010 - 内部 Outlook 2013 连接上的证书错误

我有 Exchange 2010 和 Outlook 2003。Exchange 服务器安装了通配符 SSL 证书 *.domain.com(用于 autodiscover.domain.com 和 mail.domain.com)。Exchange 服务器的本地 fqdn 是 exch.domain.local。使用此配置没有问题。

现在我开始将所有 Outlook 2003 升级到 Outlook 2013,并且开始在 Outlook 中持续收到证书错误:

安全证书上的名称无效或与站点名称不匹配

我知道为什么会出现这个错误:Outlook 2013 正在连接到 exch.domain.local,而证书是针对 *.domain.com 的。

我准备购买一个包含三个域名的 SAN(主题备用名称)证书exch.domain.localmail.domain.comautodiscover.domain.com有一个障碍:证书提供商(在我的情况下是 GoDaddy)要求验证该域名是否属于我们。现在,对于无法从互联网访问的内部域名,这是不可能的。所以这不是一个选择。

使用企业 CA 创建自签名 SAN 证书是另一个几乎不可行选项:每次访问网络邮件时都会出现证书错误,我必须在所有 Outlook 客户端上安装证书。

推荐的可行解决方案是什么?

是否可以在 Outlook 中禁用证书检查?
或者我如何更改 Exchange 服务器配置,以便所有连接都使用公共域名?
如何更改 Exchange 服务器的主 FQDN(如答案中所述),而无需重新安装服务器?或者还有其他我没有想到的解决方案?

欢迎任何建议。

答案1

以下是更改 Outlook 用于连接服务器的 FQDN 的步骤(来源:去吧爸爸普尔耶尔

使用 Exchange 管理控制台更改不同 Web 服务的内部 URL:

设置 ClientAccessServer-Identity 你的服务器名称-AutodiscoverServiceInternalUrihttps://mail.domain.com/autodiscover/autodiscover.xml

Set-WebServicesVirtualDirectory -Identity “您的服务器名称\EWS(默认网站)”-Set-OABVirtualDirectory -Identity “您的服务器名称\oab(默认网站)”-InternalUrl https://mail.domain.com/oab

Set-UMVirtualDirectory -Identity “Your_Server_Name\unifiedmessaging(默认网站)” -InternalUrl https://mail.domain.com/unifiedmessaging/service.asmx

Set-ActiveSyncVirtualDirectory -Identity "Your_Server_Name\Microsoft-Server-ActiveSync (默认网站)" -InternalUrl "https://mail.domain.com/Microsoft-Server-ActiveSync

这里要注意的主要一点是将内部 URL 设置为与外部 URL 相同。

答案2

我正在经历同样的过程,Exchange 2010 带有 Outlook 2013 客户端,刚刚注册了 mail.domain.com 证书。我们的服务器不是 server.local,而是 server.domain.com,但我不想将该服务器名称添加到证书中列出的主机名中,也不想正确地执行此操作。

https://www.digicert.com/internal-domain-name-tool.htm

您可以使用此工具生成 Powershell 脚本,将 Exchange URL 地址更正为面向外部的主机名(而不是内部主机名),以及回滚脚本以还原更改。

您需要将证书安装到 Exchange 中,并且还需要创建内部 DNS 条目以将 mail.domain.com 解析为 servername.local。

您很可能会发现,如果您访问 mail.domain.com/OWA(从内部或外部),则不会收到证书错误,但如果您访问 server.local/OWA,则会收到证书错误。那么此修复程序绝对适合您!

注意:Microsoft KB940726 文章显示 OABVirtualDirectory URL 应该是 HTTPS,但是如果您配置了 HTTP,DigiCert 工具将保留该 URL,而不是将其更改为 HTTPS。

答案3

您可以通过在 FQDN 中不使用“.local”来解决您的问题。从 2015 年开始,本地分配的地址将不再被认证机构接受。因此,您最好现在就解决这个问题,而不是等到一年后。

GoDaddy 做得对。你基本上是进退两难。大多数证书提供商现在都在执行新规则,所以你不妨购买一个带有实际全球域名地址(希望你已经设置了域名)和适当 SANS 的新证书。

相关内容