Ошибка сертификата SSL Exchange 2010
Хорошо, я хочу выпустить сертификат для доступа к веб-почте для обмена, поэтому я создал запрос для mail.domain.com (без других доменов).
Затем я заполнил запрос сертификата, импортировал его и выпустил службу IIS для нового сертификата, все остальные службы по-прежнему назначаются для локально назначенного сертификата.
Однако когда я открываю Outlook, я получаю: 
Какой Outlook видит сертификат, выданный CN: mail.domain.com, но локально сервер известен как exchangeserver.local, поэтому имена не совпадают. Я пробовал добавить автообнаружение и локальное имя в сертификат, но без разницы, что мне не хватает ???
Изменение внутренних имен серверов, как предложено MichelZ, является одним из вариантов, но лично мне проще добавить несколько имен в поле SAN (Subject Alternative Names) в сертификате, чтобы было намного проще.
Например, корпоративный сервер Exchange, которым я управляю, имеет 17 сетей SAN в сертификате, поэтому есть 18 имен, которые пользователи могут использовать для доступа к почтовому серверу без генерации ошибки сертификата.
В любом случае убедитесь, что ваш сертификат загружен в оба IIS и Обмен, хотя.
Вам необходимо изменить свои «внутренние URL-адреса» на внешние имена и в идеале изменить DNS внешних имен на IP-адрес вашего внутреннего сервера на вашем внутреннем DNS.
Set-WebServicesVirtualDirectory -Identity "EXCH-1\EWS (Default Web Site)" -InternalURL https://mail.domain.com/EWS/Exchange.asmx -BasicAuthentication:$true
Set-OabVirtualDirectory -Identity "EXCH-1\OAB (Default Web Site)" -InternalUrl https://mail.domain.com/OAB
Set-ActiveSyncVirtualDirectory -Identity "EXCH-1\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl "https://mail.domain.com/Microsoft-Server-ActiveSync"
Enable-OutlookAnywhere -Server EXCH-1 -ExternalHostname mail.domain.com -ClientAuthenticationMethod Basic -SSLOffloading:$false
Читать Вот Больше подробностей
Для сертификата Exchange могут потребоваться различные SAN (альтернативные имена субъектов) в зависимости от имен, с которыми будет осуществляться доступ к серверу; как правило, для установки с одним сервером для этого требуется как минимум три SAN:
- mail.domain.com - внешнее имя хоста вашего сервера
- servername.domain.local - внутреннее имя хоста вашего сервера
- autodiscover.domain.com - автообнаружение для вашего SMTP-домена
Однако ваша ситуация может быть совершенно иной, в зависимости от конфигурации вашего сервера; внутренние и внешние DNS-имена можно сделать идентичными, и автообнаружение может не понадобиться.
Короче говоря: если к вашему серверу будет осуществляться доступ с использованием имени, которое не включено в сертификаты SAN, вы получите эту ошибку.
Хотя ответ MichelZ является правильным (и я настоятельно призываю вас сделать это в любом случае), я могу понять, если у вас могут возникнуть некоторые сомнения, делая это в среде производственного обмена в рабочее время. Для быстрого временного исправления, пока вы не сможете реализовать правильное, вы можете попробовать найти запись _autodiscover srv в контейнере _tcp зоны прямого просмотра внутреннего домена. Если он не отображается, создайте новую запись srv с именем "_autodiscover" proctocol: _tcp priority: 0 weight: 0 port number: 443 и используйте свое внешнее имя для предложения хоста (убедитесь, что у вас уже создана запись A или CNAME). Чтобы это сработало, всем затронутым клиентам потребуется очистить свой кеш DNS, но он должен останавливать всплывающие окна с предупреждениями, пока у вас не будет времени ответить Мишелю.