none
Outlook自动配置时弹出关于前端服务器证书验证问题 RRS feed

  • 问题

  • AD域控制器的域名是 contoso.com, 邮件发布出去的域名是 contoso.com.cn,有一台Exchange 2010前端的FQDN名字叫Ex-cas1.contoso.com(默认所有自签名证书被另外一个厂商全部删除掉了),那么在配置Outlook客户端的时候,无论是加域还是不加域总会弹出一个关于ex-cas1.contoso.com证书验证框,这个问题碰到过吗?会不是是自签名证书的问题?

    比较尴尬的是用户只购买了一个mail.cotoso.com.cn的公网证书,如果使用这个证书绑定IIS,那么OWA访问就没问题,如果绑定内网CA颁发证书,outlook配置没问题,但是OWA访问就出现安全告警,在现有环境下,有没有办法同时解决这遇到的两个问题昵?

    2017年3月3日 1:32

答案

  • 1、弹框是关于ex-cas1.contoso.com的证书验证问题,这个公网证书是单域名证书:只有包含一个mail.contoso.com.cn的名称,不包含其他的。

    2、对客户端操作我们是可以接受非加域客户端导入证书,但是内网加域的理论上是不应该弹出这个问题的,就是这个该如何解决这个问题?


    弹框是关于 ex-cas1.contoso.com 的,但是证书当中没有匹配项,自然就会报错。解决方法就是申请证书的时候,如果是通配符证书,就把*.contoso.com,*.contoso.com.cn 加到里面。如果是SAN证书,就把Server的FQDN加进去。我们至少要保证证书里面有匹配项。


    Best Regards,

    Lynn-Li
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已建议为答案 Lynn-Li 2017年3月10日 1:52
    • 已标记为答案 吹牛皮 2017年3月14日 12:48
    2017年3月7日 9:48

全部回复

  • 您好,

    根据您第一段的描述,请问这个公网证书是SAN证书还是通配符证书?弹框是关于ex-cas1.contoso.com的证书验证,所以我们要检查这个证书当中是否包括ex-cas1.contoso.com这个条目。

    如果是SAN证书,可以在客户端打开 MMC -> 文件 -> 添加/删除 -> 左边选择证书,然后点击添加 -> 选择电脑账户 ->完成。然后在个人下面查看那份证书,双击,在细节标签下面找到 Subject Alternative Name, 确认这个条目包涵前端FQDN: ex-cas1.contoso.com

    如果是通配符证书,则在Exchange Server 端打开MMC,找到这个证书,在Subject Alternative Name条目下面,确认下面的词条在列表里面 *.contoso.com,*.contoso.com.cn

    根据您第二段的描述,我们可以选择只用一个公网证书,另外,请问您是怎么绑定IIS的?是在IIS里面操作的,还是在EMC里面操作的?正确的步骤应是在EMC里面导入您申请的证书,然后为证书分配服务。最后,一般情况下,我们是不建议删除自签名证书的,之后在导入任何三方证书,并保证所有客户端都没有任何连接问题的情况下,我们才会考虑去删除它。


    Best Regards,

    Lynn-Li
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已建议为答案 Lynn-Li 2017年3月10日 1:52
    2017年3月6日 2:48
  • 1、弹框是关于ex-cas1.contoso.com的证书验证问题,这个公网证书是单域名证书:只有包含一个mail.contoso.com.cn的名称,不包含其他的。

    2、对客户端操作我们是可以接受非加域客户端导入证书,但是内网加域的理论上是不应该弹出这个问题的,就是这个该如何解决这个问题?

    2017年3月6日 3:36
  • mail.cotoso.com.cn只绑定IIS

    在域环境的CA重新申请一个证书,证书需要包含所有exchange服务器的FQDN和mail/autodiscover域名,绑定到其他的。

    这样做的结果是:域环境下不会报任何错误,外网环境下非加域的客户端使用autodiscover会报证书错误(如果想避免错误,需要导入内网CA的根证书)。


    2017年3月6日 8:55
  • 1、弹框是关于ex-cas1.contoso.com的证书验证问题,这个公网证书是单域名证书:只有包含一个mail.contoso.com.cn的名称,不包含其他的。

    2、对客户端操作我们是可以接受非加域客户端导入证书,但是内网加域的理论上是不应该弹出这个问题的,就是这个该如何解决这个问题?


    弹框是关于 ex-cas1.contoso.com 的,但是证书当中没有匹配项,自然就会报错。解决方法就是申请证书的时候,如果是通配符证书,就把*.contoso.com,*.contoso.com.cn 加到里面。如果是SAN证书,就把Server的FQDN加进去。我们至少要保证证书里面有匹配项。


    Best Regards,

    Lynn-Li
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已建议为答案 Lynn-Li 2017年3月10日 1:52
    • 已标记为答案 吹牛皮 2017年3月14日 12:48
    2017年3月7日 9:48
  • 亲,

    问题现在怎么样了?解决了没有?如果有任何问题,欢迎询问。


    Best Regards,

    Lynn-Li
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 吹牛皮 2017年3月14日 12:48
    • 取消答案标记 吹牛皮 2017年3月14日 12:48
    2017年3月14日 1:31
  • 上微软服务请求解决了。
    2017年3月14日 12:48
  • 好的,问题解决了就好!

    Best Regards,

    Lynn-Li
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年3月15日 1:30