預設的自簽名證書是否會破壞 Exchange 2010 Activesync?
我有一位客戶使用一台被忽視的 Exchange 2003 伺服器至少 10 年了。我正在遷移到 Exchange 2010。實際上已經完成了很多。我的清單上唯一剩下的就是 Activesync。我的移動設備無法連接到新伺服器的 Activesync,除非它位於內部 WLAN 上。我懷疑這是因為自簽名 SSL 證書上的名稱與外部 Activesync URL 不匹配。微軟的 testexchangeconnectivity 工具似乎證實了這一點。
2003 伺服器已經使用過期的自簽名證書大約六年了。Activesync 工作;它只是在初始連接期間給使用者一個證書警告,他們被迫接受證書。在研究我的問題時,我發現一些來源暗示 Exchange 2007/2010 Activesync 根本無法使用預設的自簽名證書。這是真的?如果是這樣,有人知道為什麼嗎?我只是對為什麼伺服器會檢查它自己的 SSL 證書感到困惑。我不希望伺服器關心自簽名或名稱不匹配。只要客戶接受證書,我認為 Activesync 就可以工作。
我可能可以說服客戶獲得 UCC,但 AD 域是 .local 域。我將無法將內部主機名作為 SAN 包含在 UCC 上。這可能會導致 LAN 上的使用者出現證書警告,這是我想避免的。不幸的是,我在 Exchange 遷移中走得太遠了,無法將 AD 移動到可以作為 SAN 包含的新域。(我可以在遷移到 Exchange 2013 期間重新訪問該選項,但現在為時已晚。)我想另一種選擇是設置我自己的 CA 並創建我的證書……但是我將不得不在公司的每台移動設備上安裝證書。
正確的做法是用 a. 本地是使用外部域。您將路徑設置為外部’one,註冊證書(存在一些便宜的)並進行拆分 dns 設置,因此在內部,外部主機將解析為內部’one。這是唯一干淨的方法。