我看到我可以在 Exchange 2013 中添加许多证书。我不明白它如何选择其证书,因为我可以为同一项服务(例如 SMTP)设置许多证书。
假设我有一个用于 myexternaldomain.com 的公共 SSL 通配符,但 Exchange 不仅从外部回复,还从内部名称(如 myinternaldomani.com)回复,它如何工作?我可以将自动签名用于内部,将公共通配符用于外部吗?
编辑 现在我处于这种情况:我有一个本地域 (myinternaldomani.local) 和一个公共域 (myexternaldomain.com)。我所有的 Outlook 客户端都使用[电子邮件保护]通过 IIS、外部用户和 owa webmail 连接到 Exchange[电子邮件保护]我为 IIS 服务加载了 myexternaldomain.com 的 wildarcard 证书,现在外部用户(Outlook 或 OWA)信任该连接,但所有内部 Outlook 都无法验证证书主机名。
答案1
您不能为所有服务拥有多个证书。但是对于接收连接器,它使用 FQDN 上的匹配。因此,如果您将 FQDN 设置为 mail.example.com,则需要拥有匹配的 SSL 证书。
除非您有一个非常挑剔的外部发件人,否则自签名自动生成的证书适用于 SMTP 流量,无论是内部还是外部。然后我会配置一个特定的连接器。对于内部流量,我会使用与外部相同的主机名。使用 Exchange 2013,任何用户或服务都无需知道服务器的真实名称,因为拆分 DNS 几乎是强制性的,因为 Exchange 需要处理 SSL 证书。
不要尝试通过混合搭配使其复杂化 - 尽可能对所有事物使用相同的证书。