none
Wildcard Exchange 2013 имя сертификата не соответствует имени сайта RRS feed

  • Вопрос

  • Установили вилдкарт серт, привязали к сервисам

    Создали внутреннюю зону 3 уровня с именем, равным имени внешнего имени сервера (с серым адресом).

    При подключении выдает ошибку.

    При подключении вне домена не принимает пароль.

    7 декабря 2019 г. 10:33

Ответы

  • Сейчас написано autodiscover.поддомен.домен.ру (имя серт недопустимо или не соотв имени сайта)

    Кому выдан:*.домен.ру

    Вилд-кард сертификат выдается на имена 3 уровня, а вы используете 4-й уровень.

    https://social.technet.microsoft.com/Forums/office/ru-RU/cd0b2a0e-702f-4451-95a4-7c0671793c13/10571077108810901080109210801082107210901099-wildcard-1080-san?forum=ExchangeServer2016


    30 января 2020 г. 10:48

Все ответы

  • К IIS привязали ? Перезапустили его? По какому адресу подключается клиент ? Какой адрес отдает "А" запись? Какие записи будут в сертификате, если нажмете Просмотр сертификата ?
    7 декабря 2019 г. 11:16
  • К IIS, сервер перезагрузила.

    Адрес везде прописан одинаковый, внешние юзеры за этим именем видят белый ip.

    Сейчас написано autodiscover.поддомен.домен.ру (имя серт недопустимо или не соотв имени сайта)

    Кому выдан:*.домен.ру

    7 декабря 2019 г. 11:32
  • Лучше конечно сделать, чтоб клиенты подключались через внутренний ип, а не внешний.

    Покажите вывод: GetExchangeURLs.ps1

    7 декабря 2019 г. 13:14
  • Внутренние клиенты и так через внутр ip подключатся. Внешние по этому же имени видят внешний ip.

    Скрипт на сервере запустить не получится. Какую информацию командлетами вывести?

    7 декабря 2019 г. 13:32
  • Get-ClientAccessServer | fl AutodiscoverServiceInternalUri

    7 декабря 2019 г. 14:42
  • К IIS, сервер перезагрузила.

    Адрес везде прописан одинаковый, внешние юзеры за этим именем видят белый ip.

    Сейчас написано autodiscover.поддомен.домен.ру (имя серт недопустимо или не соотв имени сайта)

    Кому выдан:*.домен.ру

    Правильно написано, что не соотвествует: сертификат у вас на *.домен.ру, а имя соотвествует шаблону *.*.домен.ру: звездочка в имени из сертификата обозначает произвольную метку (т.е. часть между точками) имени DNS, точку между метками звездочка не покрывает.

    Слава России!


    • Изменено M.V.V. _ 7 декабря 2019 г. 16:22
    7 декабря 2019 г. 16:21
  • Как можно обойти это? Может с помощью ДНС
    8 декабря 2019 г. 7:29
  • Как можно обойти это? Может с помощью ДНС
    Сначала надо понять откуда это берется,  для этого сначала нужно посмотреть URL, прописанныый AutodiscoverServiceInetrnalUri.

    Слава России!

    8 декабря 2019 г. 11:41
  • Спасибо! С этим разобралась.

    Теперь проблема с применением сертификата для смтп. Ошибок нет, для этой службы назначен этот сертификат, но клиентам прилетают разные сертификаты при настройке учеток по поп3, имапу.

    В TlsCertificateName на коннекторах нет информации, как будто вообще сертификат не назначен.

    8 декабря 2019 г. 11:50
  • Назначьте сертификат этим службам (POP, IMAP) - https://docs.microsoft.com/ru-ru/exchange/architecture/client-access/assign-certificates-to-services?view=exchserver-2019

    и передёрните их.

    9 декабря 2019 г. 6:55
  • Эти настройки подходят для полного fqdn, а вилдкард сертификат его не содержит
    9 декабря 2019 г. 9:06
  • Спасибо! С этим разобралась.

    Теперь проблема с применением сертификата для смтп. Ошибок нет, для этой службы назначен этот сертификат, но клиентам прилетают разные сертификаты при настройке учеток по поп3, имапу.


     IIS reset выполняли?

    В TlsCertificateName на коннекторах нет информации, как будто вообще сертификат не назначен.

    Посмотрите статью:

    Configuring the TLS Certificate Name for Exchange Server Receive Connectors


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    9 декабря 2019 г. 12:46
    Модератор
  • Да, спасибо, это статью видела, но прежде чем пытаться менять сертификат, я хотела бы увидеть - какие сертификаты остаются примененными в настоящий момент.
    9 декабря 2019 г. 13:40
  • Да, спасибо, это статью видела, но прежде чем пытаться менять сертификат, я хотела бы увидеть - какие сертификаты остаются примененными в настоящий момент.
    Get-ReceiveConnector | FL Identity, Enabled, RemoteIPRanges,PermissionGroups,Auth*,TlsCertificateName
    Get-SendConnector | FL Identity, Enabled, *Tls*,Smart*

    С помощью командлетов выше можете посмотрите где назначен сертификат. Если TlsCertificateName пусто, значит сертефикат не назначен.  

    Дополнительную информацию о назначенном сертефикате сможете посмотреть помощью командлета get-exchangecertificate соответственно.



    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    10 декабря 2019 г. 7:35
    Модератор
  • TlsCertificateName везде пусто, но при настройке почтовых клиентов прилетают конкретные сертификаты, причем разные при подключении по разным портам (разным коннекторам).
    10 декабря 2019 г. 7:53
  • Да, спасибо, это статью видела, но прежде чем пытаться менять сертификат, я хотела бы увидеть - какие сертификаты остаются примененными в настоящий момент.

    Get-ExchangeCertificate - и смотрите в колонке Services наличие буквы S

    Конкретный сертификат для соединителя выбирается (если явно не указан) в соответствии с FQDN, настроенным для соединителя (оно должно совпадать с одним из имен сертификата).


    Слава России!


    • Изменено M.V.V. _ 10 декабря 2019 г. 11:27
    10 декабря 2019 г. 11:26
  • Thumbprint : B71CE37BE14C1E69517E5B1615C277B860E0BE90
    Services   : IIS, SMTP

    Thumbprint : 0FD75025F6FD39A8140A148D7CDB67A6D9A12CE3
    Services   : None

    Thumbprint : 024373D1B665E8DA0A48CD93669F019A3B1882C8
    Services   : IMAP, POP, SMTP

    Thumbprint : 98E5FE88C30C3180614DA2F5A9DB85F8CFE3EFF3
    Services   : IMAP, POP, SMTP

    Thumbprint : 60B5882F3ED2E1BB71C9D471B8ECE31F6E734F26
    Services   : IMAP, POP, SMTP

    Thumbprint : 53F45DA8F02E2B7FD4DFD6D59C847A4032F2D889
    Services   : IMAP, POP, SMTP

    Thumbprint : 3E49913F72D686F8158489EB335102D0C289CE82
    Services   : SMTP

    Thumbprint : C81FEEC17AA9E5AB3BCAB63FB8BDA19A699F0E13
    Services   : IIS, SMTP

    Thumbprint : 2D425107E3C0E4BE8CD497BF6E6F100807021FF9
    Services   : None
    24 января 2020 г. 11:52
  • Сейчас написано autodiscover.поддомен.домен.ру (имя серт недопустимо или не соотв имени сайта)

    Кому выдан:*.домен.ру

    Вилд-кард сертификат выдается на имена 3 уровня, а вы используете 4-й уровень.

    https://social.technet.microsoft.com/Forums/office/ru-RU/cd0b2a0e-702f-4451-95a4-7c0671793c13/10571077108810901080109210801082107210901099-wildcard-1080-san?forum=ExchangeServer2016


    30 января 2020 г. 10:48