o nome do certificado de segurança é inválido ou não corresponde ao nome do site

1

Nosso servidor Exchange está em execução há algum tempo com um certificado assinado internamente. Hoje comprei um certificado SSL confiável (wilcard) e instalei no servidor.

O certificado é emitido para * .example.no e não fornece exceções de segurança quando eu acessar a interface da Web em https://mail.example.no/owa do navegador da Web.

Agora, quando abro o Outlook, recebo este erro de validação de certificado. Experimentei todas as soluções padrão fornecidas, o que envolveu principalmente a configuração do URL externo como o URL interno.

  • FQDN interno : mx.example.local
  • FQDN externo : mail.example.no
  • Mensagem de erro : há um problema com o certificado de segurança do servidor proxy. O nome no certificado de segurança é inválido ou não corresponde ao nome do site de destino mx.example.local. O Outlook não consegue se conectar ao servidor proxy. (Código de erro 10)

O que eu fiz :

Set-WebServicesVirtualDirectory –Identity ‘mx\EWS (Default Web Site)’ –ExternalUrl https://mail.example.no/ews/exchange.asmx

Set-WebServicesVirtualDirectory -Identity "mx\EWS (Default Web Site)" –InternalUrl https://mail.example.no/EWS/Exchange.asmx

Set-OABVirtualDirectory -Identity “mx\OAB (Default Web Site)” -InternalURL https://mail.example.no/OAB

Set-ActiveSyncVirtualDirectory -Identity “mx\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURL https://mail.example.no/Microsoft-Server-Activesync

Set-ClientAccessServer -Identity mx -AutodiscoverServiceInternalUri https://mail.example.no/autodiscover/autodiscover.xml

O resultado :

[PS] C:\>Get-WebServicesVirtualDirectory | Select InternalUrl, BasicAuthentication, ExternalUrl, Identity | Format-List

InternalUrl         : https://mail.example.no/ews/exchange.asmx
BasicAuthentication : True
ExternalUrl         : https://mail.example.no/ews/exchange.asmx
Identity            : mx\EWS (Default Web Site)

[PS] C:\>Get-OabVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List

InternalUrl : https://mail.example.no/oab
ExternalUrl : https://mail.example.no/OAB
Identity    : mx\OAB (Default Web Site)

[PS] C:\>Get-ActiveSyncVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List

InternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync
ExternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync
Identity    : mx\Microsoft-Server-ActiveSync (Default Web Site)

[PS] C:\>Get-ClientAccessServer | Select Fqdn, AutoDiscoverServiceInternalUri, Identity | Format-List

Fqdn                           : mx.example.local
AutoDiscoverServiceInternalUri : https://mail.example.no/autodiscover/autodiscover.xml
Identity                       : mx

Depois disso, eu tenho

  • Reciclou o pool de aplicativos IIS MSExchangeAutoDiscoverAppPool (que não fez a mensagem desaparecer, portanto, eu ...)
  • Reiniciou todo o servidor de e-mail (que não fez com que a mensagem desaparecesse para que eu ...)
  • Entrou no Painel de Controle - > Mail - > Contas de e-mail e escolheu Reparar na minha conta (desde que eu estou fazendo este post você pode ter adivinhado que isso não teve efeito também)
  • DNS descarregado do computador cliente (no caso de o URL de descoberta automática ter sido ignorado)
  • Consertamos a conta de e-mail mais uma vez
  • Tentou editar a conta e colocar o FQDN público, mail.example.no, como endereço do servidor
  • EDITAR : tentou excluir e recriar a conta. Excluiu todo o perfil de email, pastas% AppData% \ Local \ Outlook e% AppData% \ Local \ Outlook. Ainda não há sucesso.

Agora estou ficando sem ideias ... todos os sites que visitei na web sugerem que eu faça o que acabei de fazer e espera-se que o resultado seja exatamente o meu resultado ...

UPDATE : um dos meus usuários não pode nem fazer login com o Outloook na estação de trabalho. A conta está OK (o correio no telefone celular e o cliente da Web funcionam), mas o Outlook continua repetindo o prompt da senha e não sairá do modo Offline.

UPDATE : fez uma verificação SSL no site Digicert para ver se o certificado está instalado OK. O servidor passou em todas as verificações, a única coisa da qual fui avisado foi o uso do protocolo SSL 3.0: Protocolo de Suporte TLS 1.1, TLS 1.0, SSL 3.0. O SSL 3.0 é uma versão de protocolo desatualizada com vulnerabilidades conhecidas.

ATUALIZAÇÃO 150709 :

Disclaimer: Nenhum endereço IP interno real foi prejudicado fazendo esta atualização

  • Eu configurei uma nova Zona de Pesquisa Direta no DNS, mail.example.no com um registro em branco (A) apontando para 192.168.1.1, o endereço IP hipotético do servidor de correio
  • Na Zona de Pesquisa Inversa para 192.168.1.in-adds.arpa, tenho o registro e (PTR) chamado 192.168.1.1 apontando para mail.example.no
  • Download DigiCert® Internal Name Tool para Microsoft Exchange
  • Executou a ferramenta, mas os endereços estavam corretos, mas o OWAVirtualDirectory ECPVirtualDirectory ainda estava se referindo a mx.example.local, então eu os alterei para mail.example.no
A saída

nslookup parece promissora:

D:\>ipconfig /flushdns

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

D:\>nslookup mail.example.no
Server:  dc1.example.local
Address:  192.168.1.2

Name:    mail.example.no
Address:  192.168.1.1


D:\>nslookup 192.168.1.1
Server:  dc.example.local
Address:  192.168.1.2

Name:    mail.example.no
Address:  192.168.1.1

O Outlook não ...

Teste pequeno:

  1. Fui às configurações da conta - > Mais configurações - > Conexão - > Configurações de proxy do Exchange.
  2. Alterou o URL de conexão para https://mail.example.no
  3. Alterou o nome principal permitido para msstd:*.example.no
  4. Outlook reiniciado. O erro do certificado não aparece agora, mas percebo que não estou conectado ...
  5. Configurações da conta mais uma vez, desta vez escolhi Reparo automático
  6. Outlook reiniciado
  7. Agora, se eu voltar às configurações do Exchange Proxy, a URL interna retornou ...
por Oskar Emil 21.05.2015 / 14:33

2 respostas

1

O certificado do emissor de terceiros precisará ter seu FQDN interno como um nome alternativo de assunto para poder trabalhar com a Descoberta Automática local que os usuários da LAN usando o Outlook estão tentando acessar, pois o certificado está no IIS ou Troca.

Caso contrário, os usuários serão solicitados a fornecer "Incompatibilidade de nome de certificado SSL" e, em algumas instâncias, eles serão solicitados a digitar suas senhas várias vezes.

    
por 25.05.2015 / 22:08
1

Estou lutando com esse problema exato. Eu não tenho pontos suficientes para comentar.

Mas estou curioso, você tem o conjunto CertPrincipalName do provedor de perspectiva EXCH?

Get-OutlookProvider

É típico que os certificados curinga precisem definir o provedor EXPR. Mas eu estou achando que também pode precisar definir o provedor EXCH para clientes RPC.

Set-OutlookProvider EXCH -CertPrincipalName msstd:*.domain.com
    
por 25.05.2015 / 21:45