好的,所以我有两个子域在我的Exchange框中工作(Server 2008上的Server 2008)。 内部子域名是exchange.company.com,外部域名是webmail.company.com。 我们的AD域名与我们的网站域名相同。 我们的DNS服务器在内部将exchange.company.com指向Exchange框,webmail.company.com也是如此。 Exchange.company.com不指向外部DNS上的任何内容。
所以,为了让人们能够从外面接到他们的电子邮件,并且更容易处理电话和这种连接,我有一天购买了GoDaddy SSL证书,并安装了它。 不幸的是,GoDaddy证书指向webmail.company.com,每个人的Outlook都被指向exchange.company.com。 因此,人们不断得到一个“证书是有效的,但它被分配的域名不符合它所在的域名”types的消息。 我不记得确切的措辞。
无论如何,我的问题是这样的:我如何设置一个证书(从我的公司内部信任的CA发布的一个)用于MAPI,另一个用于IIS? 或者,更好的是,如果该机器是作为webmail.company.com访问的,则使用GoDaddy,如果是exchange.company.com,则使用内部CA证书。
既然你在评论中说过你不想使用通配符证书,你需要2个SSL证书和2个IP地址在你的Exchange服务器上。
在IIS中,每个IP +端口组合绑定1个SSL证书,因此通过向Exchange服务器添加第二个IP,您可以分配您在购买新证书之前正在使用的原始内部生成的SSL证书或另外购买的SSL证书exchange.company.com,并将webmail.company.com分配给新的IP地址,再次在IIS中。
然后,您将外部端口转发到绑定了webmail.company.com的SSL证书的新的第二个IP地址。
这有点烦琐,但它应该适合你。
更好的方法和最佳实践方式是使用UC证书,也称为SAN(主题替代名称)证书。 这里是关于SAN如何/是什么以及它是如何工作的一些很好的信息。
但基本上,证书有几个名字,最有可能的:netbios服务器名称,本地服务器FQDN,您的networking邮件url和自动发现url
作为补充说明,我在我的一台服务器上有类似的设置。 它运行Sharepoint和Exchange 2007.我有一个与以下的SAN证书:
servername,servername.domain.local,autodiscover.domain.com,go.domain.com,internal.domain.com
这允许我的Outlook客户端无需证书警告即可连接到Exchange,也可以从内部和外部连接到我的Sharepoint和OWA站点,而无任何警告。 这也使我的客户能够使用Outlook Anywhere连接到自动发现。
可能不是你想听到的答案,但抛弃两个单独的证书赞成一个SAN将节省您头痛的TON,当涉及到IIS,需要多个IP地址,主机头等,你会需要愚弄,让它按照你想要的方式工作。
POP3和IMAP上使用的通配符作为Exchange实现的一部分可能会非常棘手,尽pipe可以完成。 如果你环顾这个网站,你会发现绝大多数人在交换时会拿到UC证书。
使用Exchange 2010查看通配符SSL证书?
如果您决定使用通配符,则可能会发现SSLTools Manager for Windows有助于排除错误,包括可怕的“名称不匹配错误”。
最简单的方法是使用通配符SSL证书,虽然这些证书相当昂贵。 这将允许将证书用于* .company.com,您将不必担心Exchange基础结构上的证书设置。
另一种方法是通过ISA Server发布您的OWA。 这将允许您为面向外部的OWA拥有不同的证书。 ISA和您的后端OWA服务器之间的通信将通过http(未encryption)。
通配符证书是免费的,一旦您通过了http://www.startssl.com/的$ 40 Class 2validation
我在包括Exchange 2010在内的所有服务器上使用他们的证书。