Exchange 2016 不断泄露其默认的自签名证书,而不是 CA 证书

tag-icon tag-icon exchange
Exchange 2016 不断泄露其默认的自签名证书,而不是 CA 证书

我已经准备好 Exchange 2016 服务器,准备迎接它的黄金时段。但是,连接到该服务器上的邮箱的 Outlook 客户端弹出窗口,提示证书由不受信任的组织颁发,更具体地说 - 它是在 Exchange 安装期间创建的默认自签名证书。

问题是我已经使用域 CA 创建并安装了正确的 SSL 证书,并将其分配给服务和 IIS,但服务器由于某种原因一直提供其 SS 证书。

输出获取 Exchange 证书 | 格式列表 FriendlyName、Subject、CertificateDomains、Thumbprint、Services

FriendlyName       : CA Certificate for HTTPS
Subject            : CN=web.contoso.com, OU=IT, O=The Contoso, L=Almaty, S=Almaty, C=KZ
CertificateDomains : {web.contoso.com, mail.contoso.com, AutoDiscover.contoso.com, bsb-srv-mb-exch.contoso.com, BSB-SRV-MB-EXCH, 
                     contoso.com}
Thumbprint         : 8-4
Services           : IMAP, POP, IIS, SMTP

FriendlyName       : Microsoft Exchange
Subject            : CN=BSB-SRV-MB-EXCH
CertificateDomains : {BSB-SRV-MB-EXCH, BSB-SRV-MB-EXCH.contoso.com}
Thumbprint         : 6-7
Services           : IMAP, POP, SMTP

FriendlyName       : Microsoft Exchange Server Auth Certificate
Subject            : CN=Microsoft Exchange Server Auth Certificate
CertificateDomains : {}
Thumbprint         : 8-6
Services           : SMTP

FriendlyName       : WMSVC
Subject            : CN=WMSvc-BSB-SRV-MB-EXCH
CertificateDomains : {WMSvc-BSB-SRV-MB-EXCH}
Thumbprint         : F-0
Services           : None

当我使用浏览器将 https 连接到服务器时,它也会出现同样的情况 - 不断警告我有关 SS 证书而不是 CA 证书。我该如何让它使用正确的证书?

答案1

Shinjijai,这是输出:

FriendlyName       : Microsoft Exchange
Subject            : CN=BSB-SRV-MB-EXCH
CertificateDomains : {BSB-SRV-MB-EXCH, BSB-SRV-MB-EXCH.contoso.com}
Thumbprint         : 9-9
Services           : IMAP, POP, IIS, SMTP
RootCAType         : None
Issuer             : CN=BSB-SRV-MB-EXCH
IsSelfSigned       : True

FriendlyName       : CA Certificate for HTTPS 2
Subject            : CN=contoso.com, OU=IT Department, O=The Contoso, L=Almaty, S=Almaty, C=KZ
CertificateDomains : {contoso.com, web.contoso.com, mail.contoso.com, AutoDiscover.contoso.com, bsb-srv-mb-exch.contoso.com}
Thumbprint         : C-6
Services           : IIS, SMTP
RootCAType         : Enterprise
Issuer             : CN=contoso-SERVER1-CA, DC=contoso, DC=com
IsSelfSigned       : False

FriendlyName       : Microsoft Exchange Server Auth Certificate
Subject            : CN=Microsoft Exchange Server Auth Certificate
CertificateDomains : {}
Thumbprint         : 8-6
Services           : SMTP
RootCAType         : None
Issuer             : CN=Microsoft Exchange Server Auth Certificate
IsSelfSigned       : True

FriendlyName       : WMSVC
Subject            : CN=WMSvc-BSB-SRV-MB-EXCH
CertificateDomains : {WMSvc-BSB-SRV-MB-EXCH}
Thumbprint         : F-0
Services           : None
RootCAType         : Registry
Issuer             : CN=WMSvc-BSB-SRV-MB-EXCH
IsSelfSigned       : True

无论如何,我设法以某种方式修复了它。您看,这是在同一个操作系统实例上第二次安装 Exchange 2016。因此,有一次 Exchange 有两个自签名证书:一个来自以前的安装,一个来自当前的安装。我当时注意到,出于某种原因,新的 Exchange 实例使用的是来自以前的证书,而不是它自己的证书。所以我删除了第一个证书。猜测一些隐藏在 UI 分配中的操作因删除额外的 SS 证书而中断。

通过删除 CA 证书并添加新证书,我的问题得到了解决。此后,Exchange 似乎认识到它拥有比 SS 证书更合适的证书。因此现在它向客户提供了正确的证书。

相关内容