Назад | Перейти на главную страницу

Разрывает ли самозаверяющий сертификат по умолчанию Exchange 2010 Activesync?

У меня есть клиент, который использовал запущенный сервер Exchange 2003 не менее 10 лет. Я сейчас в процессе перехода на Exchange 2010. На самом деле, почти все сделано. Единственное, что осталось в моем контрольном списке, - это Activesync. Мое мобильное устройство не будет подключаться к Activesync нового сервера, если оно не подключено к внутренней беспроводной локальной сети. Я подозреваю, что это связано с тем, что имя в самозаверяющем сертификате SSL не соответствует внешнему URL-адресу Activesync. Инструмент Microsoft testexchangeconnectivity, похоже, подтверждает это.

Сервер 2003 года использовал самоподписанный сертификат с истекшим сроком действия около шести лет. Activesync работал; он просто выдавал пользователям предупреждение о сертификате во время первоначального подключения, и они были вынуждены принять сертификат. Изучая свою проблему, я обнаружил некоторые источники, которые намекают, что Exchange 2007/2010 Activesync просто не будет работать с самозаверяющим сертификатом по умолчанию. Это правда? Если да, то кто-нибудь знает почему? Я просто не понимаю, почему сервер проверяет собственный сертификат SSL. Я бы не ожидал, что сервер будет заботиться о самоподписании или несоответствии имени. Пока клиенты принимают сертификат, я полагал, что Activesync будет работать.

Я, вероятно, смогу убедить клиента получить UCC, но домен AD - это .local. Я не смогу включать внутренние имена хостов в качестве SAN в UCC. Это, вероятно, вызовет предупреждения о сертификатах для пользователей в локальной сети, чего я бы хотел избежать. К сожалению, я слишком далеко продвинулся в процессе миграции на Exchange, чтобы переместить AD в новый домен, который может быть включен как SAN. (Я могу вернуться к этому варианту во время миграции на Exchange 2013, но сейчас уже слишком поздно.) Я полагаю, что другой вариант - настроить свой собственный центр сертификации и создать свой сертификат ... но тогда мне придется установить сертификаты на каждое мобильное устройство в компании.

Правильный способ сделать это с файлом. Локальный - использовать внешний домен. Вы устанавливаете путь к внешнему узлу, регистрируете сертификат (некоторые дешевые существуют) и выполняете настройку раздельного DNS, поэтому внутренне внешний хост будет преобразован во внутренний. Это единственный чистый способ.