Хорошо, у меня есть два поддомена, идущих к моему серверу Exchange на работе (Exchange 2007 на Server 2008). Внутренний поддомен - exchange.company.com, а внешний домен - webmail.company.com. Наш домен AD имеет то же имя, что и домен нашего веб-сайта. Наш DNS-сервер внутренне указывает exchange.company.com на ящик Exchange, как и webmail.company.com. Exchange.company.com не указывает ни на что во внешнем DNS.
Итак, чтобы люди могли получать доступ к своей электронной почте извне и упростить работу с телефонами и тому подобным подключением, на днях я купил SSL-сертификат GoDaddy и установил его. К сожалению, сертификат GoDaddy указывает на webmail.company.com, а Outlook всех пользователей направлен на exchange.company.com. Поэтому люди продолжают получать сообщение типа «Сертификат действителен, но домен, которому он назначен, не соответствует домену, в котором он находится». Точной формулировки не помню.
В любом случае, у меня такой вопрос: как мне настроить один сертификат (тот, который распространяется доверенным центром сертификации изнутри моей компании), который будет использоваться для MAPI, а другой - для IIS? Или, что еще лучше, если доступ к машине осуществляется как webmail.company.com, используйте GoDaddy, если это exchange.company.com, используйте внутренний сертификат CA.
Лучший способ сделать это - использовать сертификат UC, также известный как сертификат SAN (Subject Alternative Names). ВОТ отличная информация о том, как / что такое SAN и как она работает.
Но в основном сертификат с несколькими именами, скорее всего: имя сервера netbios, полное доменное имя локального сервера, URL-адрес вашей веб-почты и URL-адрес автообнаружения
В качестве дополнительной заметки у меня есть аналогичная установка на одном из моих серверов. На нем запущены Sharepoint и Exchange 2007. У меня есть сертификат SAN со следующим:
servername, servername.domain.local, autodiscover.domain.com, go.domain.com, internal.domain.com
Это позволяет моим клиентам Outlook подключаться к Exchange без предупреждений о сертификатах, а также моим сайтам Sharepoint и OWA изнутри и снаружи без каких-либо предупреждений. Это также дает моим клиентам возможность подключаться с помощью Outlook Anywhere с автообнаружением.
Вероятно, это не тот ответ, который вы хотите услышать, но использование двух отдельных сертификатов в пользу SAN сэкономит вам ТОННУ головной боли, когда дело доходит до IIS, необходимости в нескольких IP-адресах, заголовках хостов и т. Д., Которые вы бы нужно дурачиться, чтобы заставить его работать так, как вы хотите.
Поскольку вы сказали в комментарии, что не хотите использовать подстановочный сертификат, вам нужно 2 сертификата SSL и 2 IP-адреса на вашем сервере Exchange.
SSL-сертификаты привязаны к 1 на комбинацию IP + Port в IIS, поэтому, добавив второй IP-адрес к серверу Exchange, вы можете вернуть исходный созданный внутри SSL сертификат, который использовался до того, как вы купили новый, или другой купленный SSL-сертификат, ссылающийся на на exchange.company.com и назначьте webmail.company.com новому IP-адресу, снова в IIS.
Затем вы указываете переадресацию внешнего порта на новый второй IP-адрес с привязанным к нему SSL-сертификатом webmail.company.com.
Это немного неудобно, но должно работать для вас.
Подстановочные знаки, используемые в POP3 и IMAP как часть реализации Exchange, могут быть непростыми, хотя это можно сделать. Если вы посмотрите на этот сайт, вы заметите, что подавляющее большинство людей используют сертификаты UC, когда дело доходит до обмена.
видеть SSL-сертификаты с подстановочными знаками в Exchange 2010?
Если вы все же решите использовать подстановочные знаки, вы можете найти SSLTools Manager для Windows полезен при поиске и устранении неисправностей, в том числе ужасной «ошибки несоответствия имен».
Самый простой способ сделать это - использовать подстановочные SSL-сертификаты хотя это довольно дорого. Это позволит использовать сертификат для * .company.com, и вам не придется беспокоиться о настройках сертификата в вашей инфраструктуре Exchange.
Другой способ - опубликовать свой OWA через ISA Server. Это позволит вам иметь другой сертификат для внешнего OWA. Однако связь между ISA и вашим внутренним сервером OWA будет осуществляться по протоколу http (без шифрования).
Сертификаты с подстановочными знаками предоставляются бесплатно после того, как вы пройдете проверку класса 2 за 40 долларов в http://www.startssl.com/
Я использую их сертификаты на всех своих серверах, включая Exchange 2010.