Erro de certificado SSL do Exchange 2010

Navegue suas respostas
1

Eu quero emitir um certificado para acesso à web mail para troca, então eu criei uma solicitação para mail.domain.com (nenhum outro domínio).

Concluí a solicitação de certificado, importei e emiti o serviço 'IIS' para o novo certificado. Todos os outros serviços ainda estão atribuídos ao certificado atribuído localmente.

No entanto, quando abro o Outlook, recebo:

Qual Outlook está vendo o certificado emitido para CN: mail.domain.com, mas localmente o servidor é conhecido como exchangeeserver.local, portanto, os nomes não correspondem. Eu tentei adicionar autodiscovery e o nome local para o certificado, mas não faz diferença, o que estou faltando ???

    
por D-W 25.04.2014 / 16:25

4 respostas

3

Alterar os nomes dos servidores internos, como sugerido por MichelZ , é uma opção, mas pessoalmente, acho mais fácil adicione um monte de nomes ao campo SAN (Subject Alternative Names) no certificado para ficar muito mais fácil.

O servidor corporativo do Exchange que eu gerencio, por exemplo, tem 17 SANs no certificado - portanto, há 18 nomes que os usuários podem usar para acessar o servidor de email sem gerar um erro de certificado.

De qualquer forma, verifique se o certificado está carregado em ambos IIS e Exchange, embora.

    
por 25.04.2014 / 17:05
2

Você precisa alterar a "URL interna" para os nomes externos e, de preferência, alterar o DNS dos nomes externos para o IP do servidor interno no DNS interno 

Set-WebServicesVirtualDirectory -Identity "EXCH-1\EWS (Default Web Site)" -InternalURL https://mail.domain.com/EWS/Exchange.asmx -BasicAuthentication:$true
Set-OabVirtualDirectory -Identity "EXCH-1\OAB (Default Web Site)" -InternalUrl https://mail.domain.com/OAB
Set-ActiveSyncVirtualDirectory -Identity "EXCH-1\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl "https://mail.domain.com/Microsoft-Server-ActiveSync"
Enable-OutlookAnywhere -Server EXCH-1 -ExternalHostname mail.domain.com -ClientAuthenticationMethod Basic -SSLOffloading:$false

Faça uma leitura aqui para mais detalhes

    
por 25.04.2014 / 16:58
1

Um certificado do Exchange pode precisar de várias SANs (Subject Alternate Names), dependendo dos nomes com os quais o servidor será acessado; normalmente, para uma configuração de servidor único, isso requer pelo menos três SANs:

  • mail.domain.com - hostname externo do seu servidor
  • servername.domain.local - nome do host interno do seu servidor
  • autodiscover.domain.com - autodiscover para seu domínio SMTP

Sua situação pode ser bem diferente, dependendo da configuração do seu servidor; os nomes DNS internos e externos podem ser idênticos e a descoberta automática pode não ser necessária.

Resumindo: se o seu servidor for acessado usando um nome que não esteja incluído nas SANs do certificado, você receberá esse erro.

    
por 25.04.2014 / 18:19
0

Embora a resposta de MichelZ seja a correta (e eu gostaria de pedir que você faça isso independentemente), posso entender se você pode ter alguma hesitação em fazer isso em um ambiente de troca de produção durante o horário comercial. Para uma rápida correção temporária até que você possa implementar o correto, você pode tentar procurar o registro _autodiscover srv em seu contêiner _tcp de zona de pesquisa direta de domínio interno. Se não aparecer, crie um novo registro srv chamado "_autodiscover" proctocol: _tcp priority: 0 peso: 0 port number: 443 e use seu nome externo para a oferta de host (certifique-se de ter um registro A ou CNAME criado.) Para que isso funcione, todos os clientes afetados precisarão limpar seu cache de DNS, mas ele deve parar os pop-ups de aviso até que você tenha tempo para fazer a resposta de Michel.

    
por 25.04.2014 / 18:11

Tags

Como relatar nomes de arquivos encontrados por strings após serem canalizados pelo grep? Latência de rede causada por cabo incorreto?