none
Rinnovo certificato exchange miodominio.local RRS feed

  • Domanda

  • Buongiorno a tutti, ho seguito diverse discussioni riguardo l'argomento, ma senza trovare un caso simile al mio.

    Ho un server exchange 2010 al quale abbiamo rinnovato il certificato, in precedenza il certificato validava anche il dominio miodominio.local ma ora sappiamo che questo non è più possibile.

    Quindi rinnovando il certificato solo sul dominio esterno dominiopubblico.it ottengo l'errore del certificato per nome non valido "il nome nel certificato di sicurezza non è valido o non corrisponde al nome del sito".

    Ho provveduto a modificare gli URL per l'appropriati tramite i comandi:

    Set-ClientAccessServer -Identity MIOSERVER -AutodiscoverServiceInternalUri https://dominiopubblico.it/Autodiscover/Autodiscover.xml
    Set-WebServicesVirtualDirectory -Identity "MIOSERVER\EWS (Default Web Site)" -InternalUrl https://dominiopubblico.it/ews/exchange.asmx
    Set-OABVirtualDirectory -Identity "MIOSERVER\OAB (Default Web Site)" -InternalUrl https://dominiopubblico.it/oab

    Ho effettuato anche il riciclo dell'application pool di IIS, ma continuo ad avere il problema.

    I client sono Outlook 2010 e 2013.

    Qualche idea? 

    Grazie in anticipo.


    giovedì 7 aprile 2016 13:19

Tutte le risposte

  • Ciao, non hai cercato bene ;-) trattiamo continuamente il problema.

    La domanda è:

    - il certificato che hai adesso che nomi comprende? Solo esterni?

    in quel caso devi cambiare tutte le vdir interne ed esterne col nome primario contenuto nel certificato

    http://www.thirdtier.net/2014/01/set-exchange-2010-and-2013-internal-and-external-virtual-directory-urls-in-powershell/

    - il certificato è emesso da una CA interna? a quel punto bastano quelle esterne per quelle interne userà il nome FQDN del server.

    dai un occhio anche qui.

    https://support.microsoft.com/it-it/kb/940726

    Ciao.

    A.

    giovedì 7 aprile 2016 14:00
    Moderatore
  • Ciao Alessandro, Il certificato comprende solo nomi esterni, non si tratta di un selfsigned, ma di un certificato rilasciato da un authority e di conseguenza il mio dominio.local non lo certificano più.

    Ho dato un occhiata ai tuoi link in particolare:

    http://www.thirdtier.net/2014/01/set-exchange-2010-and-2013-internal-and-external-virtual-directory-urls-in-powershell/

    Ho verificato la situazione con il comando Get e noto che a livello di Get-AutoDiscoverVirtualDirectory mi restituisce un valore blank, mentre per gli altri ho il valore che ho impostato oppure il valore del dominio .local che andrò a modificare.

    A questo punto modificando tutti gli internal url dovrò creare una zona DNS nuova sul server, per attribuito l'IP privato?

    giovedì 7 aprile 2016 15:13
  • se il tuo firewall non ti fa fare loop, si, dovrai creare una split zone in maniera da poter risolvere internamente il nome esterno del server che punterà quindi all'ip privato in quel caso.

    giovedì 7 aprile 2016 15:19
    Moderatore
  • Ho applicato tutte le modifiche alle vdir, ma solo a quelle interne, poichè ho un problema solo con i client collegati nella LAN. di conseguenza: 
    Set-ClientAccessServer -Identity MIOSERVER -AutodiscoverServiceInternalUri https://dominiopubblico.it/Autodiscover/Autodiscover.xml
    Set-WebServicesVirtualDirectory -Identity "MIOSERVER\EWS (Default Web Site)" -InternalUrl https://dominiopubblico.it/ews/exchange.asmx
    Set-OABVirtualDirectory -Identity "MIOSERVER\OAB (Default Web Site)" -InternalUrl https://dominiopubblico.it/oab
    Get-AutodiscoverVirtualDirectory -server MIOSERVER | Set-AutodiscoverVirtualDirectory -InternalUrl ‘https://dominiopubblico.it/Autodiscover/Autodiscover.xml’
    Get-ActiveSyncVirtualDirectory -server MIOSERVER | Set-ActiveSyncVirtualDirectory -InternalUrl ‘https://dominiopubblico.it/Microsoft-Server-ActiveSync’ 
    Get-ECPVirtualDirectory -server MIOSERVER | Set-ECPVirtualDirectory -InternalUrl ‘https://dominiopubblico.it/ECP’


    Nonostante questo non è cambiato nulla, ricevo continuamente l'errore del certificato. Devo fare anche in questo caso il riciclo dell'application pool in IIS?

    Grazie in anticipo.


    venerdì 8 aprile 2016 15:59
  • Be' certo se non fai un iisreset le modifiche non vengono applicate...stai parlando di siti web alla fine. Ciao. A.
    venerdì 8 aprile 2016 19:23
    Moderatore
  • Buonasera Alessandro, nonostante tutti i tentativi alcuni client non segnalano più l'errore del certificato, altri invece continuano a segnalarlo.

    Ho effettuato un comando per verificare l'autodiscovery:

    Test-OutlookWebServices -identity:test@miodominio.it | ft * -AutoSize -Wrap

    Il risultato è il seguente:

    Trovato un punto di connessione valido al servizio di individuazione automatica. L'URL dell'individuazione automatica su questo oggetto è https://owa.cimberio.it/Autodiscover/Autodiscover.xml.
    Servizio di individuazione automatica contattato (https://owa.cimberio.it/Autodiscover/Autodiscover.xml).
    [EXCH] AS è configurato per questo utente nella risposta AutoDiscover proveniente da https://dominiopubblico.it/Autodiscover/Autodiscover.xml.
    [EXCH] OAB è configurato per questo utente nella risposta AutoDiscover proveniente da https://dominiopubblico.it/Autodiscover/Autodiscover.xml.
    [EXCH] UM è configurato per questo utente nella risposta AutoDiscover proveniente da https://dominiopubblico.it/Autodiscover/Autodiscover.xml.
    Prova del servizio di individuazione automatica completata.
    Il certificato dell'URL https://MIOSERVER.dominio.local/Autodiscover/Autodiscover.xml non è corretto. Affinché SSL funzioni, il certificato deve avere un oggetto MIOSERVER.dominio.local, invece l'oggetto era dominiopubblico.it. Prendere in considerazione la possibilità di correggere Service Discovery o installare un certificato SSL corretto.
    Servizio di individuazione automatica contattato (https://MIOSERVER.dominio.local:443/Autodiscover/Autodiscover.xml).
    [EXCH] AS è configurato per questo utente nella risposta AutoDiscover proveniente da https://MIOSERVER.dominio.local:443/Autodiscover/Autodiscover.xml.
    [EXCH] OAB è configurato per questo utente nella risposta AutoDiscover proveniente da https://MIOSERVER.dominio.local:443/Autodiscover/Autodiscover.xml.
    [EXCH] UM è configurato per questo utente nella risposta AutoDiscover proveniente da https://MIOSERVER.dominio.local:443/Autodiscover/Autodiscover.xml.
    Prova del servizio di individuazione automatica completata.
    [EXCH] Servizio AS correttamente contattato in https://dominiopubblico.it/ews/exchange.asmx. Tempo trascorso: 97 millesi
    mi di secondo.
    [EXCH] Servizio UM correttamente contattato in https://dominiopubblico.it/ews/exchange.asmx. Tempo trascorso: 218 milles
    imi di secondo.
    [Server] Servizio AS correttamente contattato in https://MIOSERVER.dominio.local/ews/exchange.asmx. Tempo trascor
    so: 46 millesimi di secondo.
    [Server] Servizio UM correttamente contattato in https://MIOSERVER.dominio.local/ews/exchange.asmx. Tempo trascor
    so: 15 millesimi di secondo.

    Non so se questo può essere di aiuto, oppure significativo.

    Davide

    mercoledì 27 aprile 2016 14:02