Exchange 2013 com dois certificados curinga para serviços

Question

Exchange 2013 com dois certificados curinga para serviços

#1 resposta do (0 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

2

Temos um Exchange Server com dois nomes DNS diferentes apontando para o mesmo servidor, o nome interno e o externo. Algo parecido com isto:

exchange.domain.com [External Domain]
exchange1.local.domain.com [Internal Domain]

Portanto, há dois certificados curinga para esses domínios: *.local.domain.com e *.domain.com .

O problema ocorre quando os usuários chegam ao Exchange Server por meio do nome de domínio interno. Como só consegui usar o certificado *.domain.com para o IIS, não consigo corresponder ao certificado interno de clientes que vêm com o nome DNS interno.

A questão é basicamente como combinar o nome de domínio DNS com o certificado correspondente? Como não podemos reemitir esses certificados para ter SANs diferentes, isso não é uma opção.

Obrigado antecipadamente.

iis ssl-certificate exchange exchange-2013

por Vinícius Ferrão 04.06.2015 / 00:35

3 respostas

Tags iis ssl-certificate exchange exchange-2013

Os logs de auditoria não estão sendo gerados na máquina linux MySQL (InnoDB) - processos esperando no futex

score 0 · Answer 1

Se você não tiver importado seu certificado para o Exchange, será necessário abrir o EMC, clicar em Configuração do servidor e, em seguida, no servidor, clicar com o botão direito do mouse e escolher "Importar certificado do Exchange".

Você pode fazer o upload de vários certificados usando esse método, o que permitirá que o servidor escolha o certificado correto com base no fato de seu tráfego solicitar o endereço local ou público.

Em seguida, você precisará ter certeza de que as configurações de transporte por cliente / acesso ao cliente (etc) estão definidas para usar as URLs corretas que correspondem aos seus certificados SSL.

Você verá a sua escolha de certificado (s) refletido no site padrão do IIS.

Mas mantenha o meu para alterá-lo você não pode usar apenas o IIS para fazer isso, mas usando o método acima, se você alterá-lo acidentalmente de dentro do IIS seu servidor irá parar de responder às conexões, pois terá certificados incompatíveis no IIS / EMC.

score 0 · Answer 2

Você deve configurar o DNS de divisão de cérebro em seus servidores DNS internos ou criar uma zona nos seus servidores DNS internos com resolução de endereço interna

exchange.domain.com

score 0 · Answer 3

Você precisa definir o diretório virtual do IIS para o domínio correto.

Com o powershell, você pode validar o URL dessa maneira:

Get-ActiveSyncVirtualDirectory | fl internalurl,externalurl

Get-AutoDiscoverVirtualDirectory | fl internalurl,externalurl

Get-ECPVirtualDirectory | fl internalurl,externalurl

Get-OabVirtualDirectory | fl internalurl,externalurl

Get-WebServicesVirtualDirectory | fl internalurl,externalurl

Você pode definir o novo valor dessa maneira com um comando Set - :

Get-ActiveSyncVirtualDirectory -server EXCHANGE | Set-ActiveSyncVirtualDirectory -ExternalUrl ‘https://mail.DOMAIN.ca/Microsoft-Server-ActiveSync’ -InternalUrl ‘https://mail.DOMAIN.ca/Microsoft-Server-ActiveSync’

Get-AutodiscoverVirtualDirectory -server EXCHANGE | Set-AutodiscoverVirtualDirectory -ExternalUrl ‘https://mail.DOMAIN.ca/Autodiscover/Autodiscover.xml’ -InternalUrl ‘https://mail.DOMAIN.ca/Autodiscover/Autodiscover.xml’

Get-ECPVirtualDirectory -server EXCHANGE | Set-ECPVirtualDirectory -ExternalUrl ‘https://mail.DOMAIN.ca/ECP’ -InternalUrl ‘https://mail.DOMAIN.ca/ECP’

Get-OabVirtualDirectory -server EXCHANGE | Set-OabVirtualDirectory -ExternalUrl ‘https://mail.DOMAIN.ca/OAB’ -InternalUrl ‘https://mail.DOMAIN.ca/OAB’

Get-WebServicesVirtualDirectory -server EXCHANGE | Set-WebServicesVirtualDirectory -ExternalUrl ‘https://mail.DOMAIN.ca/EWS/Exchange.asmx’ -InternalUrl ‘https://mail.DOMAIN.ca/EWS/Exchange.asmx’

Por meio da GUI, você pode procurar há para um guia

Após essas alterações, você deve emitir um iisreset e reiniciar o cliente do Outlook.

Não se esqueça de criar um registro de host em seu DNS local para corresponder ao nome de domínio com um IP local ou, se você tiver um firewall compatível, poderá criar uma regra NAT interna quando a solicitação for sua pública. IP, reescreva o destino como o IP local.