Exchange 2010 SP1 证书更新,新规则不允许本地内联网域,这会改变邮件流吗?

Exchange 2010 SP1 证书更新,新规则不允许本地内联网域,这会改变邮件流吗?

我陷入了臭名昭著的“安全证书已过期或尚未生效“消息,我知道这是因为我们的(多域名证书;或者我认为这叫做 SAN 证书?对吗?)本地服务器 DNS 名称的证书已过期:

服务器名称.域名.本地

我看到 GoDaddy 已经自动更新了我们的证书,通常看起来导入它并希望“安全证书已过期或尚未生效”消息在所有互联网 Outlook 客户端上消失是轻而易举的事,但 servername.domainname.local dns 不在自动更新的证书上,而是我们的外部 dns 名称:mail.domainname.md

从我所读的内容来看,我现在需要将 servername.domainname.local 更改为 mail.domainname.md,这让我不幸地意识到我必须去更改所有 Outlook 客户端手动指向新的外部 DNS...这也让我认为这意味着所有内部的与 Exchange 服务器位于同一网络上的 Outlook 客户端将转到 INTERNET 来获取邮件并返回,而我并不想这样。我只想让它们直接转到本地的 Exchange 服务器。

这个新的“无本地域证书注册”规则是否意味着 Outlook 客户端(2007)之间的邮件流从内部到内部、从内部到外部到内部?

如果是,这是否意味着我必须手动接触每个 Outlook 2007 客户端并更改服务器名称以缓解“安全证书已过期或尚未生效”消息?

我是否能简单地重新运行我找到的某些证书​​自签名 Powershell 脚本并生成一个新的本地证书,以消除用户的弹出消息,从而暂时避免使用外部 DNS 名称注册证书?

如果我确实需要更改所有 Outlook 客户端在其电子邮件中引用的 Exchange 服务器名称,我可以使用以下步骤进行更改:

Exchange 2010:Outlook 客户端拒绝更新到新的 CAS 服务器

我真的非常希望有人回复“可行的办法”。我不可能是唯一遇到这种情况的人,在证书续订和证书内部/外部规则更改之前一切都很好。我有大约 60 个要求苛刻的用户,有些用户根本无法容忍弹出窗口。

答案1

我认为你把这个问题搞混了,这太不公平了。假设你的证书上已经有外部名称,并且你已经导入了它并为其设置了适当的服务,那么告诉 Outlook 客户端查找该证书其实相当简单。

您需要更改三件主要的事情,只需记住最佳做法并首先导出这些设置,以便以后出现问题时可以参考它们。

或多或少您只想将 InternalURL 设置为与 WebServicesVirtualDirectory、OabVirtualDirectory 和 ActiveSyncVirtualDirectory 中的 ExternalURL 相同。

此外,如果您尚未在 DNS 中,请确保您有一个指向外部主机名的 AutoDiscover 的 SVC 记录(主要是导致内部客户端发出警告的原因)。

答案2

根据 CA/B 论坛关于 SSL 证书中本地域名贬值的新指南,没有 CA 会为本地域名颁发 SSL。此外,您无法为 netBios 名称和 IP 地址获取 SSL。

到目前为止,Exchange 服务器访问本地网络的空闲设置使用了 .local 域名,而外部使用的公共域名为 outlookanywhere 和 owa。在任何网络上访问 Exchange 服务器都需要安全连接。

交易所管理员需要采取什么行动?

需要从 Exchange 服务器中删除 .local 域配置。删除之前,您应该执行以下操作。

选项 1:使用公共域名连接两个网络上的交换,如 mail.exahngedomain.tld。

选项 2:在 Exchange 服务器上添加其他子域,如 local.exchangedomain.com,托管在本地网络 IP 地址上。然后在本地网络上添加/传播此主机名的 DNS。这样,您可以将 Exchange 服务器本地访问限制在本地网络上。

不要逃避 Outlook 连接中的 SSL 证书警告,否则您的用户每次启动 Outlook 时都会遇到问题。

相关内容