Ошибка сертификата: имя в сертификате не соответствует …, клиент Outlook, использующий .local
Мы должны были недавно списать наш .local сертификат от Godaddy, поскольку это больше не будет допустимо. Новый сертификат содержит следующие имена:
- mail.mydomain.com
- autodiscover.mydomain.com
Этот сертификат был применен к Exchange Server и активирован для всех сервисов.
Я ожидал, что клиенты получат ошибки на сертификате, поскольку они подключены с mail.mylocaldomain.local имя. Я прочитал много документации, и они все в значительной степени говорят то же самое:
- добавьте новую зону на локальном сервере DNS с общественным достоянием (я добавил зону
mydomain.com) - добавьте запись A указывающий на локальный IP почтового сервера (я добавил
mail.mydomain.comуказывая на локальный IP сервера)
Я дал эти команды:
Set-ClientAccessServer -Identity EXCHANGE-MAIL -AutodiscoverServiceInternalUrihttps://mail.publicdomain.co.uk/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity “EXCHANGE-MAIL\EWS (Default Web Site)” –InternalUrlhttps://mail.publicdomain.co.uk/EWS/Exchange.asmx
Set-OABVirtualDirectory -Identity “EXCHANGE-MAIL\OAB (Default Web Site)” -InternalURL https://mail.publicdomain.co.uk/OAB
Set-ActiveSyncVirtualDirectory -Identity “EXCHANGE-MAIL\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURLhttps://mail.publicdomain.co.uk/Microsoft-Server-Activesync
Set-WebServicesVirtualDirectory –Identity ‘EXCHANGE-MAIL\EWS (Default Web Site)’ –ExternalUrlhttps://mail.publicdomain.co.uk/ews/exchange.asmx
с именами собственными в них, но моими клиентами все еще получают ошибку сертификата.
Почему?
Полное доменное имя вашего сервера Exchange (полное доменное имя) по-прежнему hostname.domainname.local , следовательно, клиенты подключаются к нему, убедитесь, что это имя сервера. подключение к не соответствует ни имени, ни SAN (альтернативные имена субъектов) в сертификате, который у вас есть, и вызывает эту ошибку, поскольку они предназначены для этого.
Самое простое решение (с большим отрывом) - выполнить миграция Exchange для перевода вашего сервера Exchange в домен с правильным именем, для которого вы можете получить сертификат, выданный доверенным публичным центром сертификации.
См. эту ветку о передовых методах работы с Active Directory , это один из нескольких, которые у нас есть по теме. Ваше DNS-имя Active Directory должно быть неиспользуемым поддоменом вашего публично зарегистрированного доменного имени. После этого перенесите на него свой сервер Exchange и получите сертификат, который включает полное доменное имя вашего нового сервера Exchange, для которого вы сможете получить сертификат.
Пожалуйста, имейте в виду, что ответ от HopelessN00b НЕВЕРНЫЙ. ВАМ НЕ НУЖНО переносить Exchange, даже если он имеет локальное имя хоста. Добавление внутренней зоны DNS, указывающей на публичное имя, подойдет так же, как и изменение переключателя autodiscoverinternaluri.
См. следующую статью базы знаний Microsoft (940726) для решения проблемы: http://support.microsoft.com/en-us/kb/940726
Outlook периодически опрашивает AD, чтобы обновить настройки автообнаружения, поэтому Outlook может занять до 1 часа, чтобы получить новые настройки (или вы можете перезапустить Outlook, чтобы немедленно обновить настройки).
Также убедитесь, что mail.mydomain.com указывает на внутренний IP-адрес сервера Exchange на клиентах Outlook, и что вы повторно использовали пул MSExchangeAutodiscoverAppPool в IIS на сервере Exchange. после применения новых настроек.