Разрывает ли самозаверяющий сертификат по умолчанию Exchange 2010 Activesync?
У меня есть клиент, который использует запущенный сервер Exchange 2003 не менее 10 лет. Я нахожусь в процессе перехода на Exchange 2010. На самом деле, довольно много сделано. Единственное, что осталось в моем контрольном списке, это Activesync. Мое мобильное устройство не будет подключаться к Activesync нового сервера, если оно не находится во внутренней сети WLAN. Я подозреваю, что это потому, что имя на самоподписанном сертификате SSL не соответствует внешнему URL-адресу Activesync. Похоже, что инструмент testexchangeconnectivity от Microsoft подтверждает это.
Сервер 2003 года использует самозаверяющий сертификат с истекшим сроком действия около шести лет. Activesync работал; он просто выдал пользователям предупреждение о сертификате во время первоначального подключения, и они были вынуждены принять сертификат. Исследуя мою проблему, я обнаружил несколько источников, которые намекают на то, что Exchange 2007/2010 Activesync просто не будет работать с самозаверяющим сертификатом по умолчанию. Это правда? Если так, кто-нибудь знает почему? Я просто не понимаю, почему сервер проверяет свой собственный сертификат SSL. Я бы не ожидал, что сервер позаботится о самоподписании или несоответствии имен. Пока клиенты принимают сертификат, я полагал, что Activesync будет работать.
Я, вероятно, могу убедить клиента получить UCC, но домен AD является.local. Я не смогу включить внутренние имена хостов в качестве SAN на UCC. Скорее всего, это вызовет предупреждения сертификатов для пользователей в локальной сети, чего я бы хотел избежать. К сожалению, я слишком далеко продвинулся в миграции Exchange, чтобы переместить AD в новый домен, который можно включить в качестве SAN. (Я могу вернуться к этому варианту во время перехода на Exchange 2013, но сейчас уже слишком поздно делать это.) Я полагаю, что другим вариантом является настройка собственного ЦС и создание моего сертификата... но тогда мне придется установить сертификаты на каждое мобильное устройство в компании.
1 ответ
Правильный способ сделать это с. Локальным является использование внешнего домена. Вы устанавливаете путь к external'one, вы регистрируете сертификат (некоторые дешевые существуют) и выполняете настройку split dns, поэтому внутренне внешний хост преобразуется во внутренний. Это единственный чистый способ.