none
Проблема с сертификатом с Subject Alternate Name RRS feed

  • Вопрос

  • Добрый день!

     

    Мигрирую на Exchange 2007. Установил на отдельный сервер роль Client Access Server. После установки, как сказано в многочисленных руководствах, запросил у внутреннего с СА, сгенерировал и установил сертификат со следующими параметрами:

    common name: mail.MyExternalDomainName.ru

    subject alternate names: autodiscover.MyExternalDomainName.ru и InternalServerFQDN

    т.е. в сертификате 3 имени - два для обращения к серверу снаружи через OWA и Outlook Anywhere, третье - для работы сервиса Autodiscover внутри сети.

     

    Далее, в свойствах OWA указал в качестве внешнего URL https://mail.MyExternalDomainName.ru/owa.

     

    После этого при попытке обратиться на этот адрес я получаю сообщение об ошибке сертификата - имя сертификата не совпадает с именем сервера. Просматриваю сертификат - вижу именно этот сертификат, с CN mail.MyExternalDomainName.ru. При этом если из внутренней сети захожу на OWA по внутрннему URL, который выглядит так: https://InternalServerFQDN/owa - я не получаю ошибки сертификата, т.е. дополнительные имена в сертификате работают. Кроме того - внутренние клиент Outlook 2007 не выдают сообщения об ошибке сертификата - т.е. внутри Autodiscover работает нормально, что опять же свидетельствует о работе доп имен в сертификате.

     

    Вопрос - как бороться с проблемой. У меня вот только одна идея - не нужно ли в списке subject alternate name указывать и common name, т.е. mail.MyExternalDomainName.ru?

    • Перемещено Hengzhe Li 18 марта 2012 г. 6:00 forum merge (От:Exchange Server 2007)

Ответы

Все ответы

  • Да, действительно... Сгенерил новый сертификат с mail.MyExternalDomainName.ru в списке SAN и заработало.

  • Причём, имя, указанное в правиле публикации на ISA, должно не просто присутствовать в списке SAN, а быть первым в нём.
    11 июня 2008 г. 20:38
  •  McKey415 написано:

    У меня вот только одна идея - не нужно ли в списке subject alternate name указывать и common name, т.е. mail.MyExternalDomainName.ru?

    Именно что нужно, причем, как уже было сказано, имя SN должно быть первым в списке имен SAN.

    12 июня 2008 г. 22:40