萬用字元 ssl 證書 - 交換 2010 - POP/IMAP 問題
以前,我們已經向 godaddy 請求了我們主要域的萬用字元 ssl 證書。原因之一是新建立的 Exchange Server 2010。通常您需要在證書中包含以下名稱:
- FQDN(例如 mail.whatever.com)
- 主機名(郵件)
- 域名(whatever.com)
- Autodiscover.whatever.com
- MX 記錄
使用萬用字元證書,這些都被覆蓋(本地主機名除外)。在將 ssl 證書創建/導入到 exchange 2010 期間,exchange 首先詢問是否使用萬用字元證書然後遇到錯誤 -> 由於證書是萬用字元證書而不是專門為 FQDN、POP 的 SSL 生成的證書並且無法提供 IMAP。
在Google上找不到任何解決方法或解決方案,所以我希望,也許這裡有人對我有答案或解決方案!:)
Exchange 2010 在 Windows Server 2008 R2 Enterprise 上執行。
提前感謝和最好的問候, sise
不幸的是,您最好的選擇是獲得 UC 證書,這意味著放棄萬用字元並完全購買新的。有關類似問題,請參見我的答案。
噓,UC 證書比普通證書更容易被盜,主要是因為 NAT 才需要。當 IPv6 被廣泛使用並且所有電腦都有一個真實地址時,這些將主要是沒有意義的,因為您的伺服器不需要解析到防火牆內外的不同地址。
如果您使用雙面 DNS 系統,相同的主機名為內部使用者提供私有 (RFC1918) 地址,而將伺服器的公共地址提供給外部使用者,則這很容易處理。例如,來自內部伺服器的 mail.example.com 返回 10.0.0.11,而從外部伺服器返回 208.65.70.82。因此,在內部連接到您的伺服器時,您仍將使用 mail.example.com。
查看Microsoft 知識庫文章 940726,它解釋瞭如何將所有交換服務的內部 URL 更改為與外部 URL 相同。它特別為“不能”使用支持主題備用名稱的證書的人引用了這種“解決方法”。老實說,我認為隨著 IPv6 的普及,這種配置將在接下來的一兩個版本的 Exchange 中成為預設配置。
我們還發現這對移動使用者非常有用,因為 mail.example.com 將解析到防火牆內的同一台伺服器,就像它在防火牆外一樣,當他們使用 IMAP 之類的協議和不支持的客戶端時尤其好“展望無處不在”。
對於您的 POP/IMAP 問題,請查看Microsoft 知識庫文章 948896。基本上,您只需將 X509CertificateName 設置為使用者將從(使用
Set-ImapSettings -X509CertificateName mail.example.com
或通過 GUI)訪問服務的 FQDN,並且不使用Enable-ExchangeCertificate
命令專門將證書分配給 IMAP 服務。