到目前为止,我已经为我的 Exchange 使用了本地 CA 签名的证书,但所有外国用户都无法信任他们的 Outlook 或浏览器与 OWA webapp 的连接。
我为我的公共域名 mydomain.com(它与我的本地域名 mydomain.local 不同)购买了通配符证书,并且我想将其用于 Exchange 服务。
我了解到我不能使用不同的证书进行内部/外部连接,因此我决定让本地用户使用外部地址并在本地 DNS 中创建区域转发。因此每个人都使用一个名称来访问 Exchange 服务器:mbox.mydomain.com
我将 OutlookProvider 从旧的 CertPrincipalName 更改为msstd:mbox.mydomain.com新的通配符名称:
Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:*.mydomain.com
Set-OutlookProvider -Identity EXCH -CertPrincipalName msstd:*.mydomain.com
然后我通过 Exchange 的 Web ECP 界面加载新的通配符证书来激活 IIS 服务。
我等待了 Outlookprovier 刷新一段时间(TTL=1 小时)
现在....
外部连接正常,但我的所有本地 Outlook 客户端都出现代理错误:
其中目标站点是服务器的本地路径。
我错过了什么?
答案1
您可以对外部和内部连接使用不同的证书。一种可能的选择是使用负载均衡器。您也可以使用 Web 应用程序代理(请参阅这里)。
然后,您可以在 LoadBalancer / Web 应用程序代理上使用一个证书(外部)。并重新配置您的 Exchange 环境以使用内部和外部 URL。