最近为我们的外部域获取了 SSL 证书并添加到交换中,外部客户端工作正常,内部客户端在打开 Outlook 时收到安全警告,指出我们的内部 server.domain.local“安全证书上的名称无效”并且查看证书显示我们的外部域。
我该如何解决这个问题?内部和外部主机名均设置为自动发现的外部 URL。
答案1
您无法从任何受信任的 SSL 提供商处获取内部名称的 SSL 证书。这是不允许的 - 自 2014 年 11 月以来就不允许了。
“我该如何解决这个问题?内部和外部主机名均设置为自动发现的外部 URL。”
您究竟是如何做到的?如果您更改了自动发现虚拟目录上的 URL 值,那么这不是正确的做法。将其恢复为默认值。正确的方法是使用 set-clientacccessserver:
设置客户端访问服务器服务器名称-AutodiscoverServiceInternalURIhttps://host.example.com/Autodiscover/Autodiscover.xml
这将停止 SSL 提示。 http://semb.ee/hostnames2013有您需要更改的全部详细信息。
答案2
该证书似乎是颁发给您的外部域的,我server.domain.com现在就调用它。这与 不匹配server.domain.local,因此您会收到安全警告。
您有以下几种选择:
- 获取包含备用名称的新证书
server.domain.local。这将对外部和内部访问有效,但并非每个 CA 都允许您创建这样的证书。 - 配置您的本地 DNS 以解析
server.domain.com您的 Exchange 服务器,而不是.local。这很可能是解决问题的最简单方法。 - 将您的整个内部网络更改为使用
.com域。这是需要最多工作量的解决方案,但它可以防止将来其他应可从内部和外部访问的服务器出现类似问题。 - 为 Exchange 设置一个代理服务器来处理 SSL。您可以将代理放在 DMZ 中并让其提供外部证书,也可以将其放在内部并让其提供内部 CA 的证书,这其实并不重要。