我们inheritance了一个我们不能退缩的configuration。 这里是我们所拥有的:
内部域是contoso.com。 我们不拥有contoso.com,目前的所有者不会出售。
邮件服务器的内部名称是exchange2007.contoso.com
电子邮件域名是contosointernational.com
OWA访问是通过另一个缩短的域ctsi.com,即。 exchange.csti.com/owa
我们想购买一个商业证书,允许activesync工作,保护owa访问,并仍然允许电子邮件在内部工作。 我们怎么能做这个工作?
谢谢。
更新:
我们买了一个单一的名称证书(mail.ctsi.com),为ctsi创build了一个内部区域,为mail.ctsi.com创build了一个Alogging,指向我们的交换服务器,然后取消了自动发现的连接点,内部url对于ews,oab和UM Web服务到mail.ctsi.com(根据KB940726),我们的问题已解决。
您可以购买contosointernational.com证书和csti.com证书,这是SAN(有几个名字)或者只有一个。 从技术上讲,这并不重要。 你最终要做的是为你想在外部证书中实现的任何域创build一个INTERNAL DNS区域,并简单地指出使用mail.csti.com或mail.contosointernational.com的资源的内部名称内部知识产权。 但是,为了确保您能够parsing服务器的实际外部名称,该名称表示托pipe您的www.contosointernational.com,您需要将IP添加到指向外部IP的INTERNAL区域。 另外,您还需要使用PowerShell或Exchange控制台,OWA,客户端访问服务器以及其他设置进行更改,以允许Outlook正确连接到交换机。 我做了十几次。 它工作100%。 只要确保内部/外部邮件服务器的Alogging存在于您的内部区域。
您需要configuration哪些确切的服务可以在互联网上的每个指南中轻松查看,从而解释如何在2007/2010 Exchange环境中实施SSL证书。
contoso.com是微软的testing问题范例。 如果可能的话,首先从该领域迁移到更独特的东西可能是谨慎的。
由于该域名在其他地方拥有,因此无法将其作为域中的证书。 没有什么可以做的。
您可能可以让用户在networking内部使用内部生成的证书,而为外部拥有的域则可以使用外部证书。
正如大多数人会build议的,我会build议开始一个长期的项目来改变域名。 这是可以做到的,我inheritance了类似的丑陋情况,花了很长时间,但我们终于做到了。
您可能想要使用SAN证书。 与2010年,您可以使用EMC生成一个证书请求文件,但我相信这不是在Exchange 2007中可用的function。
但是,您可以使用Exchange 2007的EMS来生成证书请求文件。
https://www.digicert.com/easy-csr/exchange2007.htm允许您插入configuration的信息以生成可以粘贴到EMS的shell命令。
布莱恩是正确的。 你将不得不运行2个证书。
内部证书应由您的AD域的内部证书颁发机构签署。 外部证书将使用您的邮件域。 是的,这意味着您将不得不为OWA / ActiveSync运行两个单独的网站。
您还应该优先迁移到新的域名。 检查什么是域名重命名? 。 我没有尝试过,但看起来很合理。 确保一切正常工作需要很多工作。
编辑:其实…我想你可以做一个证书,如果你添加你的外部域作为内部URL。 这可能工作。 在“服务器configuration”的“客户端访问”部分查看服务器的OWA属性。