Ssl
為什麼我們需要在 Exchange 2010 的 UCC 證書中將 CAS 伺服器列為 SAN?
我們目前在硬體平衡器後面有一些 CAS/Hub 伺服器。Microsoft 和 Digicert 告訴我們,我們可能不需要在 UCC 證書中將它們列為 SAN,因為我們不會向使用者公開它們的主機名。
但是,當我們嘗試將 UCC 證書應用於我們的 CAS 伺服器時,沒有將它們單獨列為 SAN,我們從 Outlook 收到如下錯誤:
有誰知道是什麼配置或設置導致 CAS 伺服器主機名暴露?
PS:我知道我們不應該使用假頂級域名。我們正在努力盡快解決這個問題。
更新 (5/6/14)
我執行了過多的配置:
Get-WebServicesVirtualDirectory | Fl Identity,InternalUrl,BasicAuthenticationExternalUrl Get-OabVirtualDirectory | Fl Identity,InternalURL,ExternalURL Get-ActiveSyncVirtualDirectory | Fl Identity,InternalUrl,ExternalUrl Get-OutlookAnywhere | Fl Server,ExternalHostname Get-ClientAccessServer | Fl Server,AutoDiscoverServiceInternalURI
唯一一個引用了我們的虛假 TLD 內部主機名的是最後一個。這不只是為了自動發現嗎?為什麼內部客戶會在每次發佈時引用它?
這是設計使然。自動發現在內部和外部都在進行,它恰好預設為內部 CAS 伺服器名稱。
正如您已經知道的那樣,您需要更改所有服務以將外部 URL 也用作內部 URL,否則您的內部客戶端將收到證書錯誤。