none
Exchange 2010 公网和内网服务器证书的问题 RRS feed

  • 问题

  • 环境,两台Exchange 2010 服务器,DAG,全部包含CAS、Mailbox、Hub角色。内部服务器名为 M1.abc.local和M2.abc.local

    因为用于外网以及Gmail的POP3接收(Gmail POP要求邮件服务器必须具备可信任的公网证书颁发机构颁发的证书),购买了公网多域名证书用于mail.abc.com\pop.abc.com\imap.abc.com\autodiscover.abc.com\smtp.abc.com

    由于公网的证书颁发机构不允许证书中包含企业内部的FQDN,因此在部署中有如下问题

    分配公网证书IMAP、POP、IIS、SMTP功能,则企业内部客户端报服务器报信任错误(内部FQDN不包含在证书中、以及autodiscover),公网正常

    分配内网证书(包含内部FQDN)IIS、SMTP功能,则外网的非域内计算机报证书错误(不信任内部企业证书),OWA网站访问也不受信任(不信任内部企业证书)

    感觉就是围绕着IIS的使用哪张证书出现不同问题。IIS必须同时要给内部和外部使用,怎么办?

    IIS使用公网证书,则公网正常,由于不包含内部FQDN,则内网OUTLOOK提示错误。(公网证书不能包含内部FQDN,安全证书厂商要求,没办法)

    IIS使用内网企业证书,则内网正常,公网的计算机访问,则不信任企业内部的证书。(天生不受企业外部计算机信任)

    可有解决办法???多谢

    2013年11月27日 8:05

答案

  • 您好!

    1. 如果你的公网证书不能包含内网CAS的FQDN的话,那么你可以根据以下Kb修改AutodiscoverServiceInternalUri,EWS InternalUrl等。

    http://support.microsoft.com/kb/940726

    2.若你要使用内部企业颁发的证书,首先你要确保该证书包括内部CAS服务器的FQDN,以及公网域名和autodiscover名,为了让外部计算机信任该证书,你需要导出该证书,然后导入到公网计算机信任的根CA下。

    在公网计算机上,打开MMC,点击file选项,选择添加/移除插件,选择证书,点击添加,在证书插件页面,选择”计算机账号“,完成,然后找到信任的根Ca,右击选择导入证书。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript


    • 已编辑 cara chen 2013年11月28日 1:17 edit
    • 已标记为答案 cara chen 2013年12月6日 9:52
    2013年11月28日 1:12
  • 您好!

    考虑到成本方面的话,第一种方法是比较好的选择,以及对exchange web服务没有多大的影响。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    • 已标记为答案 cara chen 2013年12月6日 9:52
    2013年12月3日 2:10

全部回复

  • 您好!

    1. 如果你的公网证书不能包含内网CAS的FQDN的话,那么你可以根据以下Kb修改AutodiscoverServiceInternalUri,EWS InternalUrl等。

    http://support.microsoft.com/kb/940726

    2.若你要使用内部企业颁发的证书,首先你要确保该证书包括内部CAS服务器的FQDN,以及公网域名和autodiscover名,为了让外部计算机信任该证书,你需要导出该证书,然后导入到公网计算机信任的根CA下。

    在公网计算机上,打开MMC,点击file选项,选择添加/移除插件,选择证书,点击添加,在证书插件页面,选择”计算机账号“,完成,然后找到信任的根Ca,右击选择导入证书。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript


    • 已编辑 cara chen 2013年11月28日 1:17 edit
    • 已标记为答案 cara chen 2013年12月6日 9:52
    2013年11月28日 1:12
  • 非常感谢。

    第一种方式是我需要的。既然公网证书不能包含内部服务器的FQDN名,那么只能修改访问服务的FQDN名来配合公网证书SAN名了。只不过这样会使客户端访问这几个服务时绕了个大圈是吧?

    2013年11月29日 3:30
  • 您好!

    考虑到成本方面的话,第一种方法是比较好的选择,以及对exchange web服务没有多大的影响。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    • 已标记为答案 cara chen 2013年12月6日 9:52
    2013年12月3日 2:10