我们目前正在运行 Exchange 2007。我们所有的客户端都通过内部服务器名称访问 Outlook 上的 EWS 服务服务器.域.本地。为此,我们使用来自域 CA 的自签名证书。对于 OWA,我们希望使用官方证书,因为它需要从任何地方访问,例如https://owa.domain.com/ 为了访问 owa,我们有一个到交换服务器的公共 IP natting(:443 和:80)。
我如何为 owa 和 ecp 安装单独的证书?我只能为每个 IP 添加一个证书,而且由于 IIS 只知道内部 IP,因此无法分配公共证书。
以下是有关 IIS 配置的两个截屏:
答案1
基本上,您应该为此配备第二个 NIC。
如果无法使用其他 NIC,请尝试为 NIC 添加虚拟 IP,然后分配证书。
我自己尝试过一次,成功了一半,但没有足够的时间进行更多测试。
答案2
快速编辑:如果有人想纠正我...是的,您可以使用 SNI 在一个网站上获得准多个证书,但我没有深入研究其中任何一个,因为它们涉及的工作比下面的选项要多得多。以下是我在整个职业生涯中看到的所有 IT 专业人士所做的。——结束编辑
您不能对一个网站使用两个不同的证书。这是通用的,与 Exchange 无关。由于 Exchange 利用 IIS 提供 Web 服务,因此您无法这样做。您有两个选择:
购买新的公共证书时,请添加两个域名。将外部地址添加为主要地址,将内部地址添加为附加 SAN。这样,当客户端使用任一地址请求 Web 服务时,它们都会匹配证书上的名称。这可能是最简单的方法。
另一种方法是不使用 NAT,而是使用反向代理。反向代理向外界呈现一个 Web 前端 - 在您的情况下,监听外部 URL 并使用公共证书。然后在反向代理上配置规则以“代理”对此 URL 的任何请求,使其以您的内部名称从后端出来。反向代理实际上使用公共证书为外部用户创建端到端加密,并使用本地名称在 IIS 服务器上使用本地证书将流量“代理”到内部端(它将 URL 从外部“转换”为内部)。如果您不熟悉反向代理,请谷歌搜索,这个概念并不难理解。