iT邦幫忙

0

關於 exchange2016 使用商用憑證問題

各位大大 先進
因小弟最近設定 exchange2016 卡到一個關
因內部都是使用 AD CA 發的憑證...所以在外面使用網頁看 owa 網頁
都出現不信任,所以就申請一個商業憑證,匯入 exchange2016 管理中心的憑證
只想把對外網頁指定過去到這張 商用憑證去
結果發現 內部的 outlook 開啟時出現憑證與名稱不符問題
將 iis 的服務指定回 AD 所發的憑證就沒有問題....內部 outlook 就沒問題

我試過單獨調整 iis ..把 iis 憑證改為商用憑證,結果連動 exchange 裡面的服務..
會造成 outlook 內部連線跳出名稱不符

我最終目的是對外使用 owa 或是用手機 outlook app 連線時 可以不要出現憑證不受信任的問題...請問貴為先進是否有解法..

跪求高手 釋疑

感謝各位大大

1 個回答

1
raytracy
iT邦大神 1 級 ‧ 2020-09-11 16:42:59

exchange 商用憑證至少要綁三個 FQDN:

autodiscover.<domian>.tld
mail.<domain>.tld
<domian>.tld

缺一不可..
國外商業憑證的業者都會教你怎麼做, 但是你跟國內代理商買的, 代理商通常不會教你 (因為他們自己都不懂了):
https://www.digicert.com/blog/replace-your-internal-name-certificates/

https://www.digicert.com/blog/replace-internal-names-certificates-part-2/

看更多先前的回應...收起先前的回應...
willhomwtw iT邦研究生 5 級 ‧ 2020-09-11 16:48:32 檢舉

raytracy 大大
如果我單純外面 owa 跟 手機設定 outlook app 要連入而已
也要用這種方式嗎
還是有別的替代方式 可以解決

raytracy iT邦大神 1 級 ‧ 2020-09-11 17:00:16 檢舉

Exchange 沒有在分這些的, 他就是一張憑證李, 要綁齊所有的 FQDN/SAN, 因為他內部有很多傳輸服務, 都需要共用這張憑證, 不是可以讓你單獨拿出來用的, 你把它指定給某個服務專用, 那其他也同時要走 port 443 的 web service 怎麼辦?....

willhomwtw iT邦研究生 5 級 ‧ 2020-09-11 17:07:02 檢舉

了解...
所以一般我看到 人家用 outlook app 的話..
他的憑證如果不是 exchange 專用的話...
他 outlook app 設定連接伺服器就可能會有不信任的憑證出現了 對嗎

willhomwtw iT邦研究生 5 級 ‧ 2020-09-11 17:11:03 檢舉

另外一個問題...我以前用 exchange2010 時
我記得我excahnge iis 可以指定購買的商用憑證...不會影響 outlook

現在 exchange2016 指定單獨 iis 服務過去商用憑證...
內部整個 outlook 都受到影響 @_@

我要發表回答

立即登入回答