我希望就我们遇到的问题获得一些想法。
Exchange 2007 服务器已设置,其 FQDN 为 servername.domain.local,这显然是一个本地域名。
需要使用适当的面向公众的 FQDN 配置服务器以进行 TLS 通信。
我已经使用 Exchange 管理控制台为公共域生成了一个新的自签名证书。
问题是,如果您在接收连接器 250 上将 FQDN 从本地更改为公共,则 STARTTLS 将被禁用。如果您将其改回本地,TLS 将被启用,但 SMTP 横幅不再与面向公众的域名匹配。
我不想在这两者中选择一个,我想要两者。如何将接收连接器上的 FQDN 配置为面向公众的域名,同时仍保持 TLS 处于活动状态?
感谢您对此提供的任何帮助。
答案1
您需要创建第二个接收连接器。
更改设置的原因是,当启用 Exchange 身份验证时,服务器的真实名称必须位于接收连接器的 FQDN 上。除了启用匿名身份验证外,不建议更改默认接收连接器的配置。
但是,如果您要使用自签名证书,您不妨为服务器的真实名称颁发证书。它仍然会失败任何证书测试。
根据我的经验,接收连接器上的 FQDN 对 TLS 入站没有影响。远程服务器正在寻找的是与其连接的主机匹配的证书。
如果您的 MX 记录是 mail.example.com,那么 SSL 证书也需要是 mail.example.com。我的接收连接器都是服务器的真实名称,我整天都在接收 TLS 电子邮件。
答案2
我可以按照此处的建议通过简单地重新颁发证书来解决这个问题: http://www.msexchange.org/articles-tutorials/exchange-server-2007/management-administration/managing... 图:10.
New-ExchangeCertificate -FriendlyName "DSI Exchange Cert" -SubjectName "cn=mail.itdsi.com" -DomainName mail.itdsi.com,MAGBAL,MAGBAL.dsi.local,autodiscover.itdsi.com -PrivateKeyExportable:$True | Enable-ExchangeCertificate -Services POP,IMAP,IIS,SMTP
使用:Get-ExchangeCertificate | f1
列出当前证书。删除所有不必要的证书。
当为接收连接器中列出的 FQDN 找到适当的证书时,将采用 TLS。