我们最近对许多 Exchange 虚拟目录的内部 URL 进行了更改。更改后,我们发现最终用户报告 Outlook 中的错误,指出证书已过期,因此无法验证。
问题是,这些错误中显示的证书不再存在于服务器上。它是使用 Exchange 管理 Shell 中的 Remove-ExchangeCertificate Cmdlet 删除的。我还验证了它不再存在于 cert:\LocalMachine\My 的证书存储中,也不在任何 IIS 配置中可见。此外,浏览 OWA 会返回正确的证书。我不明白服务器怎么可能继续提供此证书。
此证书是否可能隐藏在其他地方?也许 Outlook 中存在某种缓存?如有任何见解,我们将不胜感激。
答案1
我首先想到的是,该证书来自其他地方。我以前见过它来自代理。不过,我要做的第一件事是进行自动发现测试。
按住 CTRL 并右键单击系统托盘中的 Outlook 图标。选择测试电子邮件自动配置。
取消选择第二和第三个选项并运行测试。
查看日志中尝试的 URL。确保它们解析为服务器的内部 IP 地址。然后检查结果并确认其他 URL 也在那里解析。
如果他们错了就纠正他们。http://semb.ee/hostnames2007
西蒙。
答案2
我似乎已经通过从 IIS 配置中删除一个旧的、已停止的网站解决了该问题。
为了详细说明,我将稍微扩展一下配置:
- 该服务器有两个 IP 地址。我们暂时称它们为 192.168.100.200 和 192.168.100.201。
- 通常情况下,服务器上的主网站被称为“默认网站”。
- 配置中还有一个名为“OWA”的第二个网站。
- “默认网站”站点的 SSL 绑定为:类型=https、主机名=$null、IP 地址=*、绑定信息=$null。
- 前面提到的绑定配置为使用当前的 SSL 证书。
第二个名为“OWA”的站点未使用且已停止,但它已绑定到 192.168.100.201(这比“默认网站”站点的 SSL 绑定更具体)。它配置了一个旧证书,使用命令时不可见Get-ExchangeCertificate。当用户通过 192.168.100.201 访问 Web 资源时,IIS 不知何故仍在提供在已停止的“OWA”网站中配置的旧证书,而不是在“默认网站”站点中配置的证书。从 IIS 配置中删除“OWA”网站似乎已解决此问题。
我仍然有些担心,因为我读到的所有内容都表明 IIS 不可能提供证书存储中不存在的证书。但事实似乎并非如此,需要进一步研究。此外,我计划针对 IIS 中的这种(错误)配置进行一些测试。在我看来,停止运行的网站不应该对另一个网站提供的证书产生任何影响。