我陷入了臭名昭著的“安全证书已过期或尚未生效“消息,我知道这是因为我们的(多域名证书;或者我认为这叫做 SAN 证书?对吗?)本地服务器 DNS 名称的证书已过期:
服务器名称.域名.本地
我看到 GoDaddy 已经自动更新了我们的证书,通常看起来导入它并希望“安全证书已过期或尚未生效”消息在所有互联网 Outlook 客户端上消失是轻而易举的事,但 servername.domainname.local dns 不在自动更新的证书上,而是我们的外部 dns 名称:mail.domainname.md
从我所读的内容来看,我现在需要将 servername.domainname.local 更改为 mail.domainname.md,这让我不幸地意识到我必须去更改所有 Outlook 客户端手动指向新的外部 DNS...这也让我认为这意味着所有内部的与 Exchange 服务器位于同一网络上的 Outlook 客户端将转到 INTERNET 来获取邮件并返回,而我并不想这样。我只想让它们直接转到本地的 Exchange 服务器。
这个新的“无本地域证书注册”规则是否意味着 Outlook 客户端(2007)之间的邮件流从内部到内部、从内部到外部到内部?
如果是,这是否意味着我必须手动接触每个 Outlook 2007 客户端并更改服务器名称以缓解“安全证书已过期或尚未生效”消息?
我是否能简单地重新运行我找到的某些证书自签名 Powershell 脚本并生成一个新的本地证书,以消除用户的弹出消息,从而暂时避免使用外部 DNS 名称注册证书?
如果我确实需要更改所有 Outlook 客户端在其电子邮件中引用的 Exchange 服务器名称,我可以使用以下步骤进行更改:
Exchange 2010:Outlook 客户端拒绝更新到新的 CAS 服务器
我真的非常希望有人回复“可行的办法”。我不可能是唯一遇到这种情况的人,在证书续订和证书内部/外部规则更改之前一切都很好。我有大约 60 个要求苛刻的用户,有些用户根本无法容忍弹出窗口。
答案1
我认为你把这个问题搞混了,这太不公平了。假设你的证书上已经有外部名称,并且你已经导入了它并为其设置了适当的服务,那么告诉 Outlook 客户端查找该证书其实相当简单。
您需要更改三件主要的事情,只需记住最佳做法并首先导出这些设置,以便以后出现问题时可以参考它们。
或多或少您只想将 InternalURL 设置为与 WebServicesVirtualDirectory、OabVirtualDirectory 和 ActiveSyncVirtualDirectory 中的 ExternalURL 相同。
此外,如果您尚未在 DNS 中,请确保您有一个指向外部主机名的 AutoDiscover 的 SVC 记录(主要是导致内部客户端发出警告的原因)。
答案2
根据 CA/B 论坛关于 SSL 证书中本地域名贬值的新指南,没有 CA 会为本地域名颁发 SSL。此外,您无法为 netBios 名称和 IP 地址获取 SSL。
到目前为止,Exchange 服务器访问本地网络的空闲设置使用了 .local 域名,而外部使用的公共域名为 outlookanywhere 和 owa。在任何网络上访问 Exchange 服务器都需要安全连接。
交易所管理员需要采取什么行动?
需要从 Exchange 服务器中删除 .local 域配置。删除之前,您应该执行以下操作。
选项 1:使用公共域名连接两个网络上的交换,如 mail.exahngedomain.tld。
选项 2:在 Exchange 服务器上添加其他子域,如 local.exchangedomain.com,托管在本地网络 IP 地址上。然后在本地网络上添加/传播此主机名的 DNS。这样,您可以将 Exchange 服务器本地访问限制在本地网络上。
不要逃避 Outlook 连接中的 SSL 证书警告,否则您的用户每次启动 Outlook 时都会遇到问题。