Недавно мы перешли с Exchange 2003 на 2010. Половина наших пользователей Outlook используют Outlook с терминального сервера, который находится в том же домене, что и Exchange. Другая половина Outlooks устанавливается на ноутбуки, не входящие в домен. Обычно они используют OpenVPN для подключения к Exchange (а также к другим сервисам), но иногда, когда они находятся где-то, где большинство исходящих портов заблокировано (в основном отели), они используют OutlookAnywhere.
У нас есть 2 сертификата: один для «ourexchangeserver», самоподписанный, а другой для «* .ourexternaldomain.tld», подписанный StartCom.
Открыв EMC> Конфигурация сервера> Сертификаты обмена, мы можем назначить услуги IMAP, POP, SMTP и IIS данному сертификату.
Проблема в том, что RPC, похоже, также использует этот же сертификат. Поэтому, когда мы назначаем подстановочный сертификат IIS, мы можем получить доступ к OWA извне без каких-либо предупреждений системы безопасности, но Outlook отображает предупреждение системы безопасности о том, что имя хоста недействительно (не совпадает с полем выдано для представленного сертификата).
Когда мы назначаем самозаверяющий сертификат IIS, все происходит наоборот: Outlook не жалуется, но браузер отображает такое же предупреждение безопасности при посещении OWA.
Мой поставщик сертификатов (StartCom) не позволяет мне сгенерировать сертификат, выданный хосту с отсутствующей или несуществующей частью домена.
Можно ли настроить Exchange 2010 с этими двумя сертификатами, чтобы OWA представлял общедоступный сертификат, а трафик RPC покрывался самозаверяющим сертификатом?
Обычные ответы на эту проблему:
На специальных сертификатах указано несколько альтернативных имен субъектов, поэтому они могут быть действительны для различных имен. Предположительно, ваши внутренние и внешние имена для ваших служб OWA и RPC.