上周末,我做了一个从Exchange 2003到Exchange 2010的迁移。这一切都很顺利,但现在我的用户正在收到安全警报〜“安全证书上的名称无效或与网站的内容不匹配”。 networking邮件部分工作,内部部分工作,但给出了这个消息。
SSL证书上的外部名称是[mail.example.com],内部名称是[exchange2010.local.example.com]。
我见过的唯一两个答案是将服务器的内部名称添加到SSL。 我宁愿不显示我的内部DNS名称。 另一个答案是禁用SSL,但我没有解释如何禁用它。 有什么build议么?
编辑我做了一个最佳实践分析,发现这..
https://exchange2010.local.example.com/Autodiscover/Autodiscover.xml的SSL证书的主题替代名称(SAN)与主机地址不匹配。 主机地址:exchange2010.local.example.com。 当前SAN:DNS名称= mail.example.com。
https://exchange2010.local.example.com/EWS/Exchange.asmx的SSL证书的主题替代名称(SAN)与主机地址不匹配。 主机地址:exchange2010.local.example.com。 当前SAN:DNS名称= mail.example.com。
https://exchange2010.local.example.com/Microsoft-Server-ActiveSync的SSL证书的主题替代名称(SAN)与主机地址不匹配。 主机地址:exchange2010.local.example.com。 当前SAN:DNS名称= mail.example.com。
https://exchange2010.local.example.com/owa的SSL证书的主题替代名称(SAN)与主机地址不匹配。 主机地址:exchange2010.local.example.com。 当前SAN:DNS名称= mail.example.com。
编辑它的工作! 您需要进行DNS更改; 在我的情况下,CNAME mail.example.com – > exchange2010.local.example.com您还需要执行以下power shell命令。
Set-AutodiscoverVirtualDirectory -Identity * –internalurl “https://mail.example.com/autodiscover/autodiscover.xml” Set-ClientAccessServer –Identity * –AutodiscoverServiceInternalUri “https://mail.example.com/autodiscover/autodiscover.xml” Set-webservicesvirtualdirectory –Identity * –internalurl “https://mail.example.com/ews/exchange.asmx” Set-oabvirtualdirectory –Identity * –internalurl “https://mail.example.com/oab” Set-owavirtualdirectory –Identity * –internalurl “https://mail.example.com/owa” Set-ecpvirtualdirectory –Identity * –internalurl “https://mail.example.com/ecp” Set-ActiveSyncVirtualDirectory -Identity * -InternalUrl "https://mail.example.com/Microsoft-Server-ActiveSync" 我们创build了一条Alogging,指向与外部DNS条目匹配的服务器。 在我们的情况下,内部是mail.com,外部是mail.com,但取决于要求哪个DNS(内部或外部)取决于返回的IP。 这样无论在哪里都可以使用相同的证书。 当他们来回移动时,也可以在笔记本电脑上使用。
这可能是一个可能的解决scheme:
将客户端configuration为通过RPC over HTTP进行连接,并将HTTPS用于缓慢和快速的networking。 这样他们就不会使用内部的SCP,而内部的SCP将会有内部的名字,但是他们会使用外部的名字来匹配你的证书。