查看完整版本: [-- 证书分配服务 --]

Exchange技术论坛 -> Exchange Server 2010 -> 证书分配服务 [打印本页] 登录 -> 注册 -> 回复主题 -> 发表主题

boibo 2017-07-11 14:16

证书分配服务

客户端使用outlook exchange模式收发邮件,希望实现outlook使用的证书为自签名证书,而owa使用公网证书,这是两个证书,如何实现?

exchange证书分配服务,只能区分IMAP,POP和IIS,无法区分exchange模式,即便通过iis管理器单独分配公网证书,exchange模式连接的outlook也自动识别公网证书。

flowerwaiter 2017-07-11 22:23
你看下你Outlook连接Exchange的方式,按住Ctrl右键点击Outlook图标,选择Connection Status,默认情况下就是https的,最多是RPC/HTTPS,也就是说他用的也是IIS的证书。

boibo 2017-07-12 15:26
公司域名a.com时搭建exchange,当时使用自签名证书,内网outlook无证书问题警告,owa提示网页不安全;现公司域名变更为b.com,申请了公网证书,内网outlook提示警告,owa网页正常。
因为内网outlook全部统一采用exchange模式配置,出现证书名称无效或与网站名称不相符问题,

尝试解决方法1:管理控制台区分证书分配服务,---失败
尝试方法2:单独通过iis安装公网证书,----失败
3:更改dns中的mx记录,以及增加cname记录能否解决此问题??具体该怎么操作??或者有没有更好的解决方法

flowerwaiter 2017-07-13 16:17
boibo:公司域名a.com时搭建exchange,当时使用自签名证书,内网outlook无证书问题警告,owa提示网页不安全;现公司域名变更为b.com,申请了公网证书,内网outlook提示警告,owa网页正常。
因为内网outlook全部 ..?(2017-07-12 15:26)?

自签名的证书不识别域名,你可以用get-exchangecertificate |fl将当前所有的证书导出来,另外你可以把证书报错的信息截图出来么?

boibo 2017-07-13 16:49
[attachment=3318]

boibo 2017-07-17 09:17
flowerwaiter:自签名的证书不识别域名,你可以用get-exchangecertificate |fl将当前所有的证书导出来,另外你可以把证书报错的信息截图出来么??(2017-07-13 16:17)?

因为原域名a.com内网依旧在使用,所以没法全部替换不用

flowerwaiter 2017-07-17 10:29
boibo:因为原域名a.com内网依旧在使用,所以没法全部替换不用?(2017-07-17 09:17)?

哦,那没关系。你用set-owavirtualdirectory命令将internalurl和externalurl分别设成xxx.a.com和xxx.b.com

boibo 2017-07-31 10:18
可能是我表达有误,重新描述环境和问题:

环境:
域名a.com时搭建的exchange,使用自签名证书,内网outlook无证书问题警告,外网owa提示网页不安全
后来公司域名变更为b.com,申请了公网证书并部署,owa网页正常,但内网outlook提示警告,警告如下图:

(内网outlook使用exchange模式配置,配置outlook时,exchange服务器地址自动识别到mail.a.com,而部署的公网证书绑定的域名为*.b.com)
需要解决:使用了公网证书后,内网outlook警告问题,

flowerwaiter 2017-07-31 20:11
boibo:可能是我表达有误,重新描述环境和问题:
环境:
域名a.com时搭建的exchange,使用自签名证书,内网outlook无证书问题警告,外网owa提示网页不安全;
后来公司域名变更为b.com,申请了公网证书并 ..?(2017-07-31 10:18)?

那说明你这个证书里面没有包含maildb.a.com这个SAN,你看下证书详情页有一个SAN的列表的。你要么改服务器的FQDN(如果是DAG就改DAG的名称),要么更新证书。

boibo 2017-08-01 09:02
证书确实不包含maildb.a.com,已经无法更改证书。


没有DAG,没有开启outlookanywhere,要解决此问题,更改FQDN具体需要怎么处理,能详细说一下吗?除了更改FQDN,IIS虚拟目录的地址或者其他地方的地址是不是也需要同步进行修改?

flowerwaiter 2017-08-01 22:34
boibo:
证书确实不包含maildb.a.com,已经无法更改证书。
没有DAG,没有开启outlookanywhere,要解决此问题,更改FQDN具体需要怎么处理,能详细说一下吗?除了更改FQDN,IIS虚拟目录的地址或者其他地方的地址是不是也需要同步进行修改?



outlook客户端是访问的80端口,你需要把所有虚拟目录的内部URL改成maildb.b.com,然后更新邮件服务器和autodiscover的dns记录[attachment=3327]

boibo 2017-08-03 13:35
我这是IIS7,exchange2010,如何更改相应的FQDN和其他设置,通过管理控制台能完成吗?能详细说明一下吗

boibo 2017-08-03 15:27
更改服务器配置,客户端访问中,owa,ecp,activesync,oab内外网地址。
更改集线器传输中,maildb.a.com为maildb.b.com时报错,具体报错如下图:
[attachment=3328][attachment=3329][attachment=3330]
Outlook添加邮箱使用exchange模式,检查姓名后exchange服务器依旧显示的是maildb.a.com
[attachment=3331]




flowerwaiter 2017-08-04 21:19
boibo:更改服务器配置,客户端访问中,owa,ecp,activesync,oab内外网地址。
更改集线器传输中,maildb.a.com为maildb.b.com时报错,具体报错如下图:
[图片]
Outlook添加邮箱使 ..?(2017-08-03 15:27)?

首先你的AD里要有a.com这个区域,才能建maildb.a.com这个记录
其次怎么让b.com的用户找到a.com的服务器,就是你b.com的资源(SRV,AUTODISCOVER)记录得指向a.com,还要将maildb.b.com做成maildb.a.com的别名记录
最后,2010的outlook用户是通过http访问的,更新虚拟目录


查看完整版本: [-- 证书分配服务 --] [-- top --]



Powered by phpwind v8.7.1 Code ©2003-2011 phpwind
Time 0.114239 second(s),query:6 Gzip enabled