O Outlook mostra o aviso de segurança de certificado na LAN local, embora o certificado seja associado apenas ao IIS

6

Eu tenho a seguinte configuração com o Exchange Server 2010:

  • Eu tenho um certificado auto-assinado associado a todos os serviços (POP, SMTP, etc.), exceto o IIS (que é associado a um certificado emitido pela Verisign e funciona perfeitamente no webmail).
  • Quando visito o webmail ( link ), ele funciona perfeitamente.
  • Todos os clientes do Outlook estão configurados para usar o nome local do servidor (como DOMAIN.SERVER, porque estão na mesma LAN) e não o domínio com o qual o webmail está associado.

O problema é:

Quando os usuários se conectam ao Exchange Server (usando a LAN local) através do Outlook 2010, esse aviso é exibido (em italiano):

Tradução:dizqueocertificadoéemitidoporumprovedorautorizado(VeriSignnestecaso),adataéválidaMASháumaincompatibilidadedenome(onomeescritonocertificadonãocorrespondeaonomedoservidor).

Seeupressionarobotão"Mostrar certificado" (o último da foto acima), o certificado associado ao IIS será exibido: como isso é possível? Quero dizer, só deve ser usado ao se conectar através do Webmail.

Existe uma maneira de evitar o uso de um certificado SSL na LAN local, mas apenas para webmail?

Obrigado

UPDATE

Este aviso não foi mostrado no Exchange 2003: estamos usando os mesmos certificados.

    
por Umar Jamil 18.06.2014 / 11:50

2 respostas

4

Seu certificado é de webmail.example.org . Se você estiver se conectando ao seu servidor do Exchange por meio de server.domain , o nome não corresponderá ao nome comum no certificado, portanto, o erro.

Você precisa de um certificado que inclua ambos os nomes ou sempre use o nome externo (mesmo quando estiver na LAN).

Para garantir que seus clientes usem o conector externo para seus serviços do Exchange, aqui estão alguns comandos que podem ajudar:

  • EXCHANGE-SERVER é o nome do host do seu servidor Exchange
  • exchange-server.yourdomain.com é o nome visível externamente do seu servidor Exchange

Comandos

Set-ClientAccessServer -Identity EXCHANGE-SERVER -AutoDiscoverServiceInternalUri https://exchange-server.yourdomain.com/Autodiscover/Autodiscover.xml

Enable-OutlookAnywhere -Server EXCHANGE-SERVER -ExternalHostname "exchange-server.yourdomain.com" -DefaultAuthenticationMethod "Basic" -SSLOffloading:$False

Set-OABVirtualDirectory -identity "EXCHANGE-SERVER\OAB (Default Web Site)" -externalurl https://exchange-server.yourdomain.com/OAB -RequireSSL:$true -InternalUrl https://exchange-server.yourdomain.com/OAB

Set-WebServicesVirtualDirectory -identity "EXCHANGE-SERVER\EWS (Default Web Site)" -externalurl https://exchange-server.yourdomain.com/EWS/Exchange.asmx -BasicAuthentication:$True -InternalUrl https://exchange.haseke.de/EWS/Exchange.asmx
    
por 18.06.2014 / 12:03
1

Comece a configurar o servidor do Exchange sem o acesso à rede interna .local Os serviços do Exchange obrigatórios exigem o certificado SSL. A antiga configuração prática adiciona nomes próprios.

Recentemente eu renovei meu servidor de troca ssl de ssl2buy. Ouvi notícias interessantes de lá que o CA / Browser anunciou o novo guia de que nenhuma CA pode emitir certificados SSL para nomes de host (nomes NetBIOS) e nomes de domínio .local depois de outubro de 2014. Todos os ssl emitidos atualmente para suporte a nomes locais devem expirar antes de outubro de 2015 Além disso, a Microsoft adicionará essa alteração na próxima atualização.

Eu verifiquei com Digicert, GeoTrust e Comodo. Todos disseram o mesmo. Então eu mudei a configuração do meu servidor e removi instâncias .local. Se eu não mudar isso agora, tem que fazer no próximo ano, mas a mudança é certa.

Mais interessante é que minha troca anterior ssl da digicert foi por $ 250 + e esta nova troca de comodo ssl custa apenas $ 45. Ambos funcionam bem e não vejo nenhum problema.

Você pode experimentar o link

    
por 17.07.2014 / 03:41