none
Exchange 2010 + wildcard certificate (trouble with MAPI) RRS feed

  • Вопрос

  • Hello. 

     

    При использовании wildcard сертификата (*. domain.net), Outlook MAPI при подключении ругается на него:


    autodiscover.name.domain.net

    "The name on the security certificate is invalid or does not match the name of the site".


     (Autodiscover и все сервисы exchange работают корректно)

    Как устранить эту ошибку?



    • Изменено Cyreex 8 сентября 2011 г. 14:04
    7 сентября 2011 г. 16:17

Ответы

  • Вот и ответ. Он, как и все гениальное, очень простой :)

     

    Так как в моей инсталяции в любом случае используется нода Linux RedHat(QemuKVM & firewall), я обошел данную проблему следующим образом:

    1. Установил Apache.

    2. Добавил IP, на котором открыл 80 порт и закрыл 443.

    3. Настроил редирект (redirect / https://autodiscover.domain.net/ )

    И все. Все ЗАРАБОТАЛО! Может еще кому пригодится (где Exchange обслуживает несколько доменов, а сертификат только на один домен). Это же можно выполнить с помощью публикации TMG, но получаем в придачу ОЧЕНЬ много проблем (попробуйте в большой компании на >100 машин установить самоподписанный сертификат) + надо оплатить лицензию TMG + win2k8 (рутрекер подходит не всем).

     

    P.S. Наконец-то можно спать спокойно :D

    • Помечено в качестве ответа Cyreex 15 сентября 2011 г. 20:42
    • Снята пометка об ответе Cyreex 15 сентября 2011 г. 20:42
    • Помечено в качестве ответа Cyreex 15 сентября 2011 г. 20:42
    15 сентября 2011 г. 20:42

Все ответы

  • проверь чтобы в outlook-account settings-connection-exchange proxy settings в строке only connect to proxy servers...  было msstd:*.domain.net
    7 сентября 2011 г. 18:38
  • Да, именно так и настроено. Без этой настройки очень криво работал autodiscover. 

     

    Суть в том, что Outlook видимо не нравится имя сертификата с символом "*". Сама по себе эта ошибка не критична, так как абсолютно все работает нормально. Но вот при старте Outlook всегда это окошко с подтверждением выскакивает и пользователи на него жалуются. Особенно достает тех, у кого периодически пропадает соединение с интернетом.

     

    8 сентября 2011 г. 7:54
  • Да, именно так и настроено. Без этой настройки очень криво работал autodiscover. 

     

    Суть в том, что Outlook видимо не нравится имя сертификата с символом "*". Сама по себе эта ошибка не критична, так как абсолютно все работает нормально. Но вот при старте Outlook всегда это окошко с подтверждением выскакивает и пользователи на него жалуются. Особенно достает тех, у кого периодически пропадает соединение с интернетом.

     

    8 сентября 2011 г. 7:54
  • я так понимаю , что сертификат у нас на доменное имя 3го уровня, а имя автодискавери 4го?
    8 сентября 2011 г. 10:10
  • Да, сертификат на *.domain.net

    Данное имя в ДНС:

    autodiscover.name.domain.net CNAME autodiscover-redirect.domain.net

     

    Эта же ошибка появляется если домен имеет вид:

    autodiscover.domain001.com CNAME autodiscover-redirect.domain.net

     

    Данная инсталляция Exchange в Hosted версии, то-есть должна работать с  разными доменами. Но сертификат необходимо использовать один.

     

    Может есть настройки аутлук, которые отключают у него эту проверку?

    8 сентября 2011 г. 10:53
  • ну вот из-за этого у вас и ошибка. вы можете перейти от wild card к простому сертификату с кучей имен?
    8 сентября 2011 г. 14:13
  • Этот вариант не подойдет, так как даже если мы сделаем сертификат с кучей имен на domain.net, то другие пользователи, у которых другой домен, будут получать эту ошибку. 

     

    А можно ли в Outlook отключить эту проверку? Подойдет даже изменение параметров реестра.

    8 сентября 2011 г. 14:26
  • вы можете в сертификате указать имена из разных доменов, который вам нужны. это проще, чем всем клиентам менять настройки
    8 сентября 2011 г. 16:44
  • Не проще, так как клиенты постоянно появляются новые. Мы разоримся на покупке сертификатов :)
    9 сентября 2011 г. 8:08
  • Cyreex, вы нашли какое-либо решение?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    15 сентября 2011 г. 13:09
  • Нет, не нашел... Хочу попробовать направить автодискавери на сайт с Apache, там будет сертификат моего центра сертификации... Минусов сразу вижу очень много (это то-же, что и публикация на TMG, но дешевле)...
    15 сентября 2011 г. 13:14
  • Вот и ответ. Он, как и все гениальное, очень простой :)

     

    Так как в моей инсталяции в любом случае используется нода Linux RedHat(QemuKVM & firewall), я обошел данную проблему следующим образом:

    1. Установил Apache.

    2. Добавил IP, на котором открыл 80 порт и закрыл 443.

    3. Настроил редирект (redirect / https://autodiscover.domain.net/ )

    И все. Все ЗАРАБОТАЛО! Может еще кому пригодится (где Exchange обслуживает несколько доменов, а сертификат только на один домен). Это же можно выполнить с помощью публикации TMG, но получаем в придачу ОЧЕНЬ много проблем (попробуйте в большой компании на >100 машин установить самоподписанный сертификат) + надо оплатить лицензию TMG + win2k8 (рутрекер подходит не всем).

     

    P.S. Наконец-то можно спать спокойно :D

    • Помечено в качестве ответа Cyreex 15 сентября 2011 г. 20:42
    • Снята пометка об ответе Cyreex 15 сентября 2011 г. 20:42
    • Помечено в качестве ответа Cyreex 15 сентября 2011 г. 20:42
    15 сентября 2011 г. 20:42