Назад | Перейти на главную страницу

Сертификаты Windows Server внешний домен

недавно установил службы сертификации во внутренней сети Windows Server 2008.

Я настраиваю службы сертификатов, сгенерировал сертификат, поместил его в папку доверенных сертификатов домена и применил сертификат в качестве групповой политики для компьютера> настройки Windows> безопасность. Диспетчер сертификатов настраивается как автономный корень.

Проблема в том, что домен настроен как тот, который не соответствует веб-домену. Итак, мы открываем нашу веб-почту Exchange на внешнем IP-адресе с помощью виртуальных хостов. Внешний диспетчер DNS разрешает записи A для связанных поддоменов на этих внешних IP-адресах.

Когда пользователь посещает нашу открытую веб-почту HTTPS или службы терминалов, он / она получает предупреждение о ненадежном сертификате, поскольку в сертификате указан внутренний домен (premiernic.com), а не внешний (premier.com.cy).

Я бы хотел, чтобы внешнему доменному имени доверяли точно так же, через групповую политику. Как мне это сделать?

Если все ваши клиенты находятся под вашим контролем и вы доверяете корневому сертификату на всех клиентах, вы можете просто выпустить новый сертификат на сервер Exchange, который включает оба имени в качестве записи SAN. Посмотри Вот для инструкций, как.

После установки и включения этого сертификата на сервере Exchange все клиенты, доверяющие вашему корневому сертификату ЦС, примут этот сертификат для обоих доменных имен.

Если у вас есть внешние клиенты (не клиенты домена), которые не доверяют вашему корневому ЦС, они все равно будут получать предупреждения / проблемы с сертификатами. Тогда вам понадобится сертификат из общедоступного центра сертификации.

Кроме того, в качестве другого варианта вы можете настроить обмен так, чтобы он использовал тот же (внешний) домен и для внутренних клиентов, и использовать сертификат только с внешним именем. Посмотри на этот вопрос для подробностей:

Get-WebServicesVirtualDirectory | Fl Identity,InternalUrl,BasicAuthenticationExternalUrl
Get-OabVirtualDirectory | Fl Identity,InternalURL,ExternalURL
Get-ActiveSyncVirtualDirectory | Fl Identity,InternalUrl,ExternalUrl
Get-OutlookAnywhere | Fl Server,ExternalHostname
Get-ClientAccessServer | Fl Server,AutoDiscoverServiceInternalURI