none
обнаружена ошибка сертификата безопасности прокси-сервера RRS feed

  • Вопрос

  • Добого пока еще праздничного дня.

    Такая проблема испортила праздничное настроение:
    Есть сервера Exchange - два с DAGом и два с CASом обьединенных через NLB.
    И на CASах кончились самоподписные сертификаты Exchange'а. После их продления из ECP - возникла данная ошибка.
    Оутлук получает сертификаты с именами CASов, а не общего mail.*.ru и соответственно уходит в ошибку.

    Проблема в том, что настраивавший когдато это всё сотрудник недоступен. А я никак не могу понять, где и что я забыл...

    Дополнительные имена в сертификатах и раньше не содержали информации о mail.*.ru


    7 января 2020 г. 12:28

Ответы

  • Причина вашей беды понятна: процедура обновления самоподписанного сертификата меняет в привязках IIS выбранный ранее сертификат на обновленный самоподписанный.

    Как я вижу, у вас раньше в привязке к Front End был привязан сертификат для mail.скрытыйдомен.ru (публичный или выданный внутренним ЦС),  а теперь привязан обновленный самоподписанный.

    Восстановите привязки предыдущего (для mail.скрытыйдомен.ru) сертификата через консоль управления IIS. Для этого запустите консоль, выберите в ней Default Web Site, в локальном меню (по правой кнопке мыши) выберите Edit Bindings (или как там по-русски), в появившемся окне выбирите каждую из привязок (обычно там их 2 - для 127.0.0.1 и для остальных IP) протокола HTTPS (порт 443), запустите её редактирование, в появившемся окне нажмите кнопку Certificate и выберите из списка старый сертификат - который для mail.скрытыйдомен.ru

    Внимание! Привязки HTTPS для сайта Exchange Back End (которые к 444 порту) трогать не надо - там должен остаться самоподписанный сертификат.

     

    Слава России!


    7 января 2020 г. 22:26
  • Денб добрый.

    Создайте новый сертификат со всеми именами ваших серверов и именем mail.xxx.ru и autodiscover.XXXX.ru. Установите на все CAS.

    Certificate procedures in Exchange Server

    Возможно старый распространялся через GPO. Распространите новый.

    Deploy self-signed Exchange certificate to PCs and avoid Outlook security alerts!


    MCITP, MCSE. Regards, Oleg

    7 января 2020 г. 19:42
    Модератор

Все ответы

  • Денб добрый.

    Создайте новый сертификат со всеми именами ваших серверов и именем mail.xxx.ru и autodiscover.XXXX.ru. Установите на все CAS.

    Certificate procedures in Exchange Server

    Возможно старый распространялся через GPO. Распространите новый.

    Deploy self-signed Exchange certificate to PCs and avoid Outlook security alerts!


    MCITP, MCSE. Regards, Oleg

    7 января 2020 г. 19:42
    Модератор
  • Причина вашей беды понятна: процедура обновления самоподписанного сертификата меняет в привязках IIS выбранный ранее сертификат на обновленный самоподписанный.

    Как я вижу, у вас раньше в привязке к Front End был привязан сертификат для mail.скрытыйдомен.ru (публичный или выданный внутренним ЦС),  а теперь привязан обновленный самоподписанный.

    Восстановите привязки предыдущего (для mail.скрытыйдомен.ru) сертификата через консоль управления IIS. Для этого запустите консоль, выберите в ней Default Web Site, в локальном меню (по правой кнопке мыши) выберите Edit Bindings (или как там по-русски), в появившемся окне выбирите каждую из привязок (обычно там их 2 - для 127.0.0.1 и для остальных IP) протокола HTTPS (порт 443), запустите её редактирование, в появившемся окне нажмите кнопку Certificate и выберите из списка старый сертификат - который для mail.скрытыйдомен.ru

    Внимание! Привязки HTTPS для сайта Exchange Back End (которые к 444 порту) трогать не надо - там должен остаться самоподписанный сертификат.

     

    Слава России!


    7 января 2020 г. 22:26
  • Спасибо огромное! Вы нас спасли!
    Всё заработало!

    С праздниками!
    8 января 2020 г. 18:05
  • Тут вам ответило два человека. Кто именно вас спас? Или оба? Отметьте, пожалуйста, ответ.

    Слава России!

    8 января 2020 г. 18:14