iT邦幫忙

0

Exchange 2007 憑證問題

請問各位先進
Enable-ExchangeCertificate -Thumbprint D40XXXXXXXXXXXXXXXXXXXXXXXXXXXXX -Services POP,IMAP,SMTP,IIS

如用根憑證的話 POP,IMAP,SMTP 可正常使用 但 HTTPS://SERVER/OWA 跟手機Exchange 不能使用(無法開啟網頁)
但如果用新增出來的憑證的話 HTTPS://SERVER/OWA 跟手機Exchange 可以使用 但 OUTLOOK 會一直跳出要輸入帳號密碼(沒有顯示憑證有問題) 請問是我哪裡有錯呢? 或是哪裡可以查詢紀錄?

1 個回答

2
raytracy
iT邦大神 1 級 ‧ 2015-05-30 23:28:40
最佳解答
  1. 你新增的 Exchange 憑證是由誰核發的?
  2. 有沒有將核發憑證的 Root CA 安裝到 Outlook 電腦中?

1.Exchange的憑證是本機發的ROOT憑證
2.如果使用 Exchange ROOT 憑證 Enable-ExchangeCertificate
Services: SMTP,POP,IMAP,IIS
Thumbprint:C7AD5XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
警告: 因為指紋為 'C7AD5XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX' 的 CA
簽署憑證優先,所以此憑證不會用於 FQDN 為 'server.XXXXXXXXX.XXX' 的外部 TLS
連線。下列連接器與該 FQDN 相符: Default SERVER, Client SERVER。
也因此這個原因不能使用 HTTPS://SERVER/OWA 跟手機Exchange

如果使用其他憑證(都是本機自己發出的憑證) 是沒有上面那個問題但是但 OUTLOOK 會一直跳出要輸入帳號密碼
是我操作錯誤 還是哪裡有問題呢?

raytracy iT邦大神 1 級 ‧ 2015-06-01 13:12:02 檢舉

mingan670302提到:
如果使用其他憑證(都是本機自己發出的憑證)

正確做法:

  1. 架設企業內部 Root CA Server (通常 DC 就可以擔任)
  2. 由 Exchange 向 Root CA 申請憑證
  3. 將 CA 核發的 Exchange 憑證安裝在 Exchange 上面
  4. Root CA 的 Root 憑證, 透過 GPO 派送, 自動安裝到 Client 端的 Outlook 上

結果, 你現在發的憑證是從 Exchange 自己發出來的, 等於是 Exchange 自己要擔任 Root CA 的角色, 這樣在 AD 內就沒辦法自動派送 Root 憑證給 Client, 你必須要自己派送.

你要把 Exchange 憑證匯出, 然後從下面任選一個方法:

  1. 自己新增 GPO, 把這張憑證塞到 Client 端的「受信任根憑證」儲存區內
  2. 自己拿著這張憑證, 到 Client 端電腦去, 把它安裝到「受信任根憑證」儲存區內

(......奇怪? 那以前沒有這個問題嗎? 還是做了甚麼事情之後才變這樣?)

我要發表回答

立即登入回答