Exchange 2010 SSL证书错误

如MichelZ所build议的那样 ， 更改内部服务器名称是一种select，但个人而言，我发现向证书中的SAN（主题备用名称）字段添加一堆名称会容易得多 。

例如，我pipe理的企业Exchange服务器在证书上有17个SAN，因此用户可以使用18个名称来访问邮件服务器，而不会产生证书错误。

无论哪种方式，请确保您的证书在IIS和Exchange都加载。

您需要将您的“内部URL”更改为外部名称，理想情况下将外部名称的DNS更改为内部DNS上的内部服务器IP

 Set-WebServicesVirtualDirectory -Identity "EXCH-1\EWS (Default Web Site)" -InternalURL https://mail.domain.com/EWS/Exchange.asmx -BasicAuthentication:$true Set-OabVirtualDirectory -Identity "EXCH-1\OAB (Default Web Site)" -InternalUrl https://mail.domain.com/OAB Set-ActiveSyncVirtualDirectory -Identity "EXCH-1\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl "https://mail.domain.com/Microsoft-Server-ActiveSync" Enable-OutlookAnywhere -Server EXCH-1 -ExternalHostname mail.domain.com -ClientAuthenticationMethod Basic -SSLOffloading:$false 

有一个在这里阅读更多的细节

Exchange证书可能需要各种SAN（主题备用名称），具体取决于服务器将要访问的名称; 通常，对于单服务器设置，这至less需要三个SAN：

• mail.domain.com – 您的服务器的外部主机名
• servername.domain.local – 您的服务器的内部主机名
• autodiscover.domain.com – 自动发现您的SMTP域

不过，您的情况可能会有所不同，具体取决于您的服务器configuration; 内部和外部的DNS名称可以相同，并且可能不需要自动发现。

简而言之：如果您的服务器将使用未包含在证书SAN中的名称进行访问，则会出现该错误。

虽然MichelZ的答案是正确的（我敦促你不要这样做），我可以理解你是否可以在工作时间在生产交换环境中做这样的犹豫。 对于一个快速的临时修复，直到您可以实现正确的一个，你可以尝试寻找_autodiscover srvlogging在你的内部域正向查找区_tcp容器。 如果没有出现，则创build一个名为“_autodiscover”proctocol的新的srvlogging：_tcp priority：0 weight：0 port number：443并使用您的外部名称作为主机产品（确保您已经创build了A或CNAMElogging。为此，所有受影响的客户端都需要清除其DNScaching，但是应该停止警告popup窗口，直到您有时间做Michel的回答。