我试图在Exchange服务器上replace过期的自签名SSL证书。 我用selfssl创build了一个新的证书,但是当我尝试添加一个新的公用文件夹时,出现一个错误,告诉我“ssl证书服务器名称不正确”。
我怀疑这是因为我的服务器的公共FQDN和它的内部名称是不一样的(显然),所以当我在本地pipe理服务器时,我得到这个错误。 具体来说,当我尝试从服务器本身(通过远程桌面)添加新的公用文件夹时,出现此错误。 我的局域网上的客户端可以访问服务器上的OWA(除了我的浏览器警告我证书是自签名的,这是可以预料的)。 在我的LAN上,我的公共FQDN正确parsing为本机的内部LAN IP地址。
以前的证书在“发行者”字段中有5个左右的名字(localhost,mail.mydomain.com,mail.mydomain.local,邮件等)。 我的问题可以通过提供给我两个信息之一来解决:
如何创build具有多个CN值的证书? 传递不止一个selfssl的显而易见的解决scheme似乎不起作用。 我不会被说服买UC证书,因为“好吧,Exchange需要这个奇怪的东西,只要买它,一切都会好起来的。” 必须能够使用OpenSSL或其他方式签署证书。
我似乎很奇怪,我需要一个除FQDN以外的证书。 有什么方法可以使Exchange以一种理智的方式行事,而不需要SAN的证书? 这是我的首选解决scheme。
此服务器正在运行Small Business Server 2003和Exchange Server 2003 SP2。
如果您需要具有多个名称的证书,则需要购买支持“主题备用名称”的证书。 今天我已经买了一个超过55英镑。 这不是可以购买的最强的证书之一,但是对于只有内部员工使用系统的小型企业来说,他们没事,并且会消除所有证书错误。
如果您使用ISP托pipe外部DNS,并且(显然)将您的内部DNS托pipe在您的networking中,那么很容易解决这个问题,而您不需要使用SAN的证书。 请注意,这不适用于2003年以后的Exchange版本,因此购买证书是您唯一的select。
例如,如果您的交换服务器在外部是exchange.example.com但您使用了其他内部名称(例如exchange.example.local或exchange.internal.example.com ),那么您只需创build一个新的DNS转发在您的内部DNS上查找exchange.example.com查找区域,并将默认的“@”logging添加到指向您的Exchange服务器的区域。
exchange.example.com内部查询将parsing为您的内部IP,而在networking外执行的查询将parsing为您的外部IP地址。