默认的自签名证书是否会破坏 Exchange 2010 Activesync?

默认的自签名证书是否会破坏 Exchange 2010 Activesync?

我有一个客户,他使用一个被忽视的 Exchange 2003 服务器至少有 10 年了。我正在迁移到 Exchange 2010。实际上,已经基本完成了。我的清单上唯一剩下的就是 Activesync。除非我的移动设备位于内部 WLAN 上,否则它不会连接到新服务器的 Activesync。我怀疑这是因为自签名 SSL 证书上的名称与外部 Activesync URL 不匹配。Microsoft 的 testexchangeconnectivity 工具似乎证实了这一点。

2003 服务器已经使用过期的自签名证书大约六年了。Activesync 可以正常工作;它只是在初始连接期间向用户发出证书警告,然后他们被迫接受该证书。在研究我的问题时,我发现一些来源暗示 Exchange 2007/2010 Activesync 根本无法使用默认的自签名证书。这是真的吗?如果是这样,有人知道为什么吗?我只是不明白为什么服务器会检查它自己的 SSL 证书。我不希望服务器关心自签名或名称不匹配。只要客户端接受证书,我认为 Activesync 就可以正常工作。

我可能可以说服客户获取 UCC,但 AD 域是 .local 域。我无法将内部主机名作为 SAN 包含在 UCC 中。这可能会导致 LAN 上的用户收到证书警告,而这正是我想要避免的。不幸的是,我在 Exchange 迁移中已经走了很远,无法将 AD 移动到可以作为 SAN 包含的新域。(我可以在迁移到 Exchange 2013 期间重新考虑该选项,但现在这样做已经太晚了。)我想另一个选择是设置我自己的 CA 并创建我的证书……但之后我必须在公司的每个移动设备上安装证书。

答案1

使用 a. Local 的正确方法是使用外部域。将路径设置为外部域,注册证书(一些便宜的证书存在),然后进行拆分 DNS 设置,这样外部主机就会在内部解析为内部域。这是唯一干净的方法。

相关内容