安全证书的名称无效或与网站名称不符

我们的Exchange服务器已经运行了一段时间的内部签名证书。今天我买了一个可信的SSL证书（wilcard）并安装在服务器上。

当我通过网页浏览器访问https://mail.example.no/owa的Web界面时，证书被发给* .example.no，并且不会出现任何安全exception。

现在，当我打开Outlook我得到这个证书validation错误。我已经尝试了所有提供的标准解决scheme，主要涉及将外部url设置为内部url。

内部FQDN ： mx.example.local
外部FQDN ： mail.example.no
错误消息 ：代理服务器的安全证书有问题。安全证书上的名称无效或与目标站点mx.example.local的名称不匹配。 Outlook无法连接到代理服务器。（错误代码10）

我做了什么 ：

 Set-WebServicesVirtualDirectory –Identity 'mx\EWS (Default Web Site)' –ExternalUrl https://mail.example.no/ews/exchange.asmx Set-WebServicesVirtualDirectory -Identity "mx\EWS (Default Web Site)" –InternalUrl https://mail.example.no/EWS/Exchange.asmx Set-OABVirtualDirectory -Identity “mx\OAB (Default Web Site)” -InternalURL https://mail.example.no/OAB Set-ActiveSyncVirtualDirectory -Identity “mx\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURL https://mail.example.no/Microsoft-Server-Activesync Set-ClientAccessServer -Identity mx -AutodiscoverServiceInternalUri https://mail.example.no/autodiscover/autodiscover.xml

结果是 ：

 [PS] C:\>Get-WebServicesVirtualDirectory | Select InternalUrl, BasicAuthentication, ExternalUrl, Identity | Format-List InternalUrl : https://mail.example.no/ews/exchange.asmx BasicAuthentication : True ExternalUrl : https://mail.example.no/ews/exchange.asmx Identity : mx\EWS (Default Web Site) [PS] C:\>Get-OabVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List InternalUrl : https://mail.example.no/oab ExternalUrl : https://mail.example.no/OAB Identity : mx\OAB (Default Web Site) [PS] C:\>Get-ActiveSyncVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List InternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync ExternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync Identity : mx\Microsoft-Server-ActiveSync (Default Web Site) [PS] C:\>Get-ClientAccessServer | Select Fqdn, AutoDiscoverServiceInternalUri, Identity | Format-List Fqdn : mx.example.local AutoDiscoverServiceInternalUri : https://mail.example.no/autodiscover/autodiscover.xml Identity : mx

之后，我有

回收IIS应用程序池MSExchangeAutoDiscoverAppPool（这不会使消息消失，所以我…）
重新启动整个邮件服务器（这不会使消息消失，所以我…）
进入控制面板 – >邮件 – >电子邮件帐户，并select我的帐户修复（因为我做这个职位，你可能已经猜到，这也没有效果）
刷新客户端计算机的DNS（如果自动发现URL被忽略）
再次修复了电子邮件帐户
试图编辑帐户，并把公共FQDN，mail.example.no，作为服务器地址
编辑：试图删除并重新创build帐户。删除整个邮件configuration文件，％AppData％\ Local \ Outlook和％AppData％\ Local \ Outlook文件夹。仍然没有成功。

我现在已经没有想法了…我在网上访问过的每一个网站都表明，我做了我刚做的事情，结果就像我的结果一样。

更新：我的一个用户甚至不能使用工作站的Outloooklogin。该帐户是好的（手机上的邮件和Web客户端工作），但Outlook不断重复密码提示，不会退出离线模式。

更新：在Digicert网站上进行SSL检查，看是否安装了证书。服务器通过了所有检查，只有我被警告的事情是使用SSL 3.0协议：协议支持TLS 1.1，TLS 1.0，SSL 3.0。 SSL 3.0是一个已知漏洞的过期协议版本。

更新150709 ：

免责声明：没有真正的内部IP地址被伤害做这个更新

我在DNS中设置了一个新的正向查找区域mail.example.no ，其中一个空白（A）logging指向192.168.1.1，邮件服务器的假设IP地址
在192.168.1.in-adds.arpa的反向查找区中，我有名为192.168.1.1的e（PTR）logging指向mail.example.no
为Microsoft Exchange下载DigiCert®内部名称工具
运行该工具，地址大部分是正确的，但OWAVirtualDirectory ECPVirtualDirectory仍然指的是mx.example.local，所以我将它们改为mail.example.no

nslookup输出看起来很有希望：

 D:\>ipconfig /flushdns Windows IP Configuration Successfully flushed the DNS Resolver Cache. D:\>nslookup mail.example.no Server: dc1.example.local Address: 192.168.1.2 Name: mail.example.no Address: 192.168.1.1 D:\>nslookup 192.168.1.1 Server: dc.example.local Address: 192.168.1.2 Name: mail.example.no Address: 192.168.1.1

outlook不…..

小testing：

进入帐户设置 – >更多设置 – >连接 – > Exchange代理设置。
将连接URL更改为https://mail.example.no
将允许的主体名称更改为msstd:*.example.no
重新启动Outlook。证书错误现在不会popup，但我注意到我没有连接…
帐户设置一次，这次我select了自动修复
重新启动Outlook
现在，如果我回到Exchange代理设置的内部url已返回…

来自第三方发行人的证书将需要将您的内部FQDN作为主题备用名称，以便能够使用您的本地自动发现工作，使用Outlook的LAN用户试图在证书位于您的IIS或Exchange上时与其联系。

否则，用户将被提示input“SSL证书名称不匹配”，并且在某些情况下，系统会提示他们一次又一次地input密码。

我正在与这个确切的问题作斗争。我没有足够的评论。

但我很好奇，你有EXCH前景提供者CertPrincipalName设置？

 Get-OutlookProvider

通配证书通常需要设置EXPR提供程序。但是我发现我可能还需要为RPC客户端设置EXCH提供程序。

 Set-OutlookProvider EXCH -CertPrincipalName msstd:*.domain.com