Я пытаюсь заменить самозаверяющий SSL-сертификат с истекшим сроком действия на моем сервере Exchange. Я создал новый сертификат с помощью selfssl, но когда я пытаюсь добавить новую общую папку, я получаю сообщение об ошибке, сообщающее мне, что «имя сервера сертификата ssl неверно».
Я подозреваю, что причина этого в том, что общедоступное полное доменное имя моего сервера и его внутреннее имя не совпадают (очевидно), поэтому, когда я управляю сервером локально, я получаю эту ошибку. Чтобы быть конкретным, я получаю эту ошибку, когда пытаюсь добавить новую общую папку с самого сервера (через удаленный рабочий стол). Клиенты в моей локальной сети могут без проблем получить доступ к OWA на сервере (кроме того, что мой браузер предупреждает меня, что сертификат является самоподписанным, чего и следовало ожидать). В моей локальной сети мое общедоступное полное доменное имя правильно разрешается во внутренний IP-адрес локальной сети машины.
В предыдущем сертификате был список из 5 или около того имен (localhost, mail.mydomain.com, mail.mydomain.local, mail и т. Д.) В поле «Issuer». Мой вопрос можно решить, предоставив мне одну из двух частей:
Как создать сертификат с более чем одним значением CN? Очевидное решение передачи более одного в selfssl, похоже, не работает. Меня не убедят купить сертификат UC, потому что «ну, Exchange требует эту странную вещь, просто купите ее, и все будет в порядке». Должна быть возможность подписать сертификат, который будет работать для этого, с помощью OpenSSL или т. Д.
Мне кажется очень странным, что мне нужен сертификат с чем-либо, кроме моего FQDN. Есть ли способ заставить Exchange вести себя разумно, не требуя сертификата с SAN? Это, безусловно, мое предпочтительное решение.
На этом сервере работает Small Business Server 2003 и Exchange Server 2003 SP2.
Если вам нужен сертификат с более чем одним именем, вам необходимо приобрести сертификат, поддерживающий альтернативные имена субъектов. Я купил один сегодня чуть больше 55 фунтов стерлингов. Это не один из самых надежных сертификатов, которые вы можете купить, но для малого бизнеса, где только внутренний персонал использует систему, они прекрасны и устранят все ошибки сертификатов.
Если вы размещаете внешний DNS у провайдера и (очевидно) размещаете свой внутренний DNS в своей сети, то это очень легко обойти, и вам не нужен сертификат для SAN. Обратите внимание, что это не относится к версиям Exchange после 2003 года, поэтому покупка сертификата - ваш единственный вариант.
Например, если ваш сервер обмена внешне exchange.example.com но вы используете другое внутреннее имя (например, exchange.example.local или exchange.internal.example.com), то все, что вам нужно сделать, это создать новую зону прямого просмотра DNS для exchange.example.com на вашем внутреннем DNS и добавьте запись по умолчанию '@' в зону, которая указывает на ваш сервер обмена.
Внутренний поиск для exchange.example.com будет разрешаться на ваш внутренний IP-адрес, в то время как запросы, выполняемые за пределами вашей сети, будут разрешаться на ваш внешний IP-адрес.