Сертификаты Exchange не совпадают
Так как Вы сказали в комментарии, что не хотите использовать Wildcard-сертификат, Вам нужны 2 сертификата SSL и 2 IP-адреса на Вашем Exchange Server.
Сертификаты SSL связываются 1 на комбинацию IP+Port в IIS, таким образом, путем добавления второго IP к Exchange Server можно присвоить назад исходный внутренне сгенерированный сертификат SSL, который использовался перед покупкой нового или другого купленного сертификата SSL, обращающегося к exchange.company.com, и присвойте webmail.company.com новому IP-адресу, снова в IIS.
Вы затем указываете на свой внешний порт, передающий новому второму IP-адресу с сертификатом SSL webmail.company.com, связанным с ним.
Это немного трудно, но это должно работать хорошо на Вас.
-
1Хорошо, возможно, я wasn' t совершенно ясный об этом. У меня есть два сертификата. Один выпущенный моим контроллером домена / внутренний центр сертификации. Другой выпущенный GoDaddy. webmail.company.com находится на нашем внешнем IP-адресе и имеет сертификат GoDaddy на нем. exchange.company.com имеет наш внутренний IP-адрес на нем (192.168.x.x) и выпустил сертификат нашим внутренним Приблизительно Все, что я хочу сделать, настраивается это так, чтобы MAPI пошел использовать exchange.company.com, и IIS использует webmail.company.com. – phuzion 24 December 2009 в 07:18
-
2Вы получили 2 внутренних IP-адреса на установке Exchange Server? Необходимо сделать это и присвоить 1 сертификат SSL каждому IP. webmail.company.com 192.168.x.y с внешним сертификатом SSL, exchange.company.com 192.168.x.z с внутренним сертификатом CA Удостоверяется DNS, решает правильно внутренне для обоих IP-адресов, и укажите на свое перенаправление портов от внешнего брандмауэра до IP-адреса с внешним сертификатом SSL. Это должно работать – Ewan Leith 24 December 2009 в 11:33
Лучший путь и лучшая практика способ сделать это с сертификатом UC, также известным как SAN (Подчиненные Альтернативные Имена) сертификат. ВОТ некоторая большая информация о том, как/какой SAN и как это работает.
Но в основном, сертификат с имеет несколько имен в нем, скорее всего: имя сервера netbios, локальный сервер FQDN, Ваш URL веб-почты и автообнаружить URL
Как дополнительное примечание, у меня есть подобная установка на одном из моих серверов. Это выполняет Sharepoint и Exchange 2007. У меня есть сертификат SAN со следующим:
имя сервера, servername.domain.local, autodiscover.domain.com, go.domain.com, internal.domain.com
Это позволяет моим клиентам Outlook соединяться с Exchange без предупреждений сертификата и также моими сайтами Sharepoint и OWA от внутренней и внешней части без любых предупреждений также. Это также делает мои клиенты способными соединить использование Outlook Где угодно с Автообнаруживанием.
Вероятно, не ответ Вы хотите услышать, но бросающий 2 отдельных сертификата в пользу SAN собирается сохранить Вас ТОННА головной боли когда дело доходит до IIS, потребности в нескольких IP-адресах, заголовках хоста, и т.д., что необходимо было бы дурачиться с получить его работающий способ, которым Вы хотите.
-
1There' s хорошая запись в блоге на Блоге Команды Exchange о запросе и конфигурировании Сертификаты SAN\UC - msexchangeteam.com/archive/2007/02/19/435472.aspx – Helvick 22 December 2009 в 16:20
-
2We' ve сделал большое использование SAN' s здесь в нашей среде Exchange. – sysadmin1138♦ 24 December 2009 в 20:19
-
3Посмотрите мой поток здесь на хорошем поставщике сертификата SAN. (Субсидия GoDaddy, IIRC) serverfault.com/questions/80507/… – DanBig 24 December 2009 в 20:25
-
4Это - лучший ответ. Рассмотрите переприсвоение принятого ответа. – Jason R. Coombs 19 April 2010 в 06:10
Самый легкий способ выполнить это состоит в том, чтобы использовать подстановочный знак сертификаты SSL, хотя они являются довольно дорогими. Это позволит сертификату использоваться для *.company.com, и Вы не должны будете волноваться о настройках сертификата на Вашей инфраструктуре Exchange.
Иначе должен опубликовать Ваш OWA через Сервер ISA. Это позволит Вам иметь другой сертификат для внешнего направления OWA. Коммуникация между ISA и Вашим бэкендом сервер OWA однако будет по (незашифрованному) http.
-
1I' m не смотрящий на использование Wildcard-сертификат. У меня есть два действительных сертификата, I' m надеющийся делать попытку Exchange один для IIS, и один для MAPI. И я don' t имеют ISA, таким образом, не идут на это. – phuzion 22 December 2009 в 15:32
Wildcard-сертификаты являются бесплатными, после того как Вы передали проверку Класса 2 за 40$ по http://www.startssl.com/
Я использую их сертификаты на всех своих серверах включая Exchange 2010.
-
1Я получаю ошибки, пытающиеся присваивать подстановочные сертификаты POP3 и сервисам IMAP (ПРЕДУПРЕЖДЕНИЕ: Этот сертификат со следом большого пальца 7FEF753A521B73E81F93A56F464D8700C5A567DE и предмет ' *.jaraco.com' не может используемый для POP SSL/соединения TLS, потому что предметом не является Полностью определенное доменное имя (FQDN). Используйте набор-команд-POPSettings для установки X509CertificateName на FQDN сервиса.) – Jason R. Coombs 19 April 2010 в 06:09
Подстановочные знаки, используемые в POP3 и IMAP как часть реализации Exchange, могут быть непростыми, хотя это можно сделать. Если вы посмотрите на этот сайт, вы заметите, что подавляющее большинство людей используют сертификаты UC, когда дело доходит до обмена.
см. SSL-сертификаты с подстановочными знаками в Exchange 2010?
Если вы все же решите использовать подстановочные знаки, вы можете найти диспетчер SSLTools для Windows полезным при устранении ошибок, включая ужасную ошибку несоответствия имени '.