Exchange 2010 - ошибка сертификата на внутренних подключениях Outlook 2013
У меня есть Exchange 2010 и Outlook 2003. На сервере Exchange установлен сертификат SSL с подстановочным знаком *.domain.com (для использования с autodiscover.domain.com и mail.domain.com). Локальное имя сервера Exchange - exch.domain.local. С такой конфигурацией проблем нет.
Теперь я начал обновлять все Outlook 2003 до Outlook 2013, и я начал постоянно получать ошибку сертификата в Outlook:
Имя в сертификате безопасности недействительно или не соответствует названию сайта
Я понимаю, почему я получаю эту ошибку: Outlook 2013 подключается к exch.domain.local, а сертификат предназначен для *.domain.com.
Я был готов купить сертификат SAN (Subject Alternate Names), который содержит три домена exch.domain.local, mail.domain.com, autodiscover.domain.com, Но есть препятствие: поставщик сертификатов (в моем случае Godaddy) требует, чтобы домен был проверен как наша собственность. Теперь это невозможно для внутреннего домена, который не доступен из Интернета. Так что это оказывается не вариант.
Создание самозаверяющего сертификата SAN с помощью корпоративного центра сертификации - это еще один вариант, который едва ли является жизнеспособным: при каждом доступе к веб-почте возникнет ошибка сертификата, и мне пришлось установить сертификат на всех клиентах Outlook.
Какое рекомендуемое жизнеспособное решение?
Можно ли отключить проверку сертификатов в Outlook?
Или как я могу изменить конфигурацию сервера Exchange, чтобы имя общего домена использовалось для всех подключений?
Как изменить основное полное доменное имя сервера Exchange, как предлагается в ответе, без необходимости переустановки сервера? Или есть другое решение, о котором я не думаю?
Любой совет приветствуется.
3 ответа
Вот шаги для изменения полного доменного имени, используемого Outlook для подключения к серверу (источники: Godaddy, puryear)
С помощью консоли управления Exchange измените внутренний URL-адрес различных веб-сервисов:
Set-ClientAccessServer -Identity Your_Server_Name -AutodiscoverServiceInternalUri https://mail.domain.com/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity "Your_Server_Name\ EWS (веб-сайт по умолчанию)" -Set-OABVirtualDirectory -Identity "Your_Server_Name\oab (веб-сайт по умолчанию)" -InternalUrl https://mail.domain.com/oab
Set-UMVirtualDirectory -Identity "Your_Server_Name\ unifiedmessaging (веб-сайт по умолчанию)" -InternalUrl https://mail.domain.com/unifiedmessaging/service.asmx
Set-ActiveSyncVirtualDirectory -Identity "Your_Server_Name\ Microsoft-Server-ActiveSync (веб-сайт по умолчанию)" -InternalUrl " https://mail.domain.com/Microsoft-Server-ActiveSync"
Главное, на что следует обратить внимание, это то, что вы устанавливаете внутренние URL-адреса такими же, как внешние URL-адреса.
Я работаю через тот же процесс, Exchange 2010 с клиентами Outlook 2013 и только что зарегистрировал сертификат mail.domain.com. Наш сервер не server.local, хотя, это server.domain.com, но я не хочу добавлять это имя сервера в список имен хостов в сертификате, а также хочу сделать это правильно.
https://www.digicert.com/internal-domain-name-tool.htm
Вы можете использовать этот инструмент для генерации сценариев Powershell, которые будут корректировать URL-адреса Exchange в соответствии с вашим внешним именем хоста вместо вашего внутреннего имени хоста, а также сценарий отката для отмены изменений.
Вам нужно будет установить сертификаты в Exchange, а также вам необходимо создать внутреннюю запись DNS для преобразования mail.domain.com в servername.local.
Скорее всего, вы увидите, что если вы получите доступ к mail.domain.com/OWA (из внутреннего или внешнего), вы не получите ошибку сертификата, но если вы получите доступ к server.local/OWA, то получите. Это исправление определенно для вас!
Примечание. В статье Microsoft KB940726 показано, что URL-адрес OABVirtualDirectory должен быть HTTPS, однако, если у вас настроен HTTP, инструмент DigiCert сохранит его вместо того, чтобы изменить его на HTTPS.
Вы можете начать решать свою ситуацию, не используя ".local" в своем полном доменном имени. Начиная с 2015 года, локально назначенные адреса больше не будут приниматься сертификационными органами. Так что лучше решить эту проблему сейчас, чем через год.
GoDaddy делает правильные вещи. Вы в основном застряли между молотом и наковальней. Большинство провайдеров сертификатов применяют новое правило сейчас, поэтому вы можете также купить новый сертификат с вашим действительным глобальным адресом домена (надеюсь, у вас настроен домен) с соответствующим SANS.