Ssl

為什麼我們需要在 Exchange 2010 的 UCC 證書中將 CAS 伺服器列為 SAN?

  • May 6, 2014

我們目前在硬體平衡器後面有一些 CAS/Hub 伺服器。Microsoft 和 Digicert 告訴我們,我們可能不需要在 UCC 證書中將它們列為 SAN,因為我們不會向使用者公開它們的主機名。

但是,當我們嘗試將 UCC 證書應用於我們的 CAS 伺服器時,沒有將它們單獨列為 SAN,我們從 Outlook 收到如下錯誤:

在此處輸入圖像描述

有誰知道是什麼配置或設置導致 CAS 伺服器主機名暴露?

PS:我知道我們不應該使用假頂級域名。我們正在努力盡快解決這個問題。

更新 (5/6/14)

我執行了過多的配置:

Get-WebServicesVirtualDirectory | Fl Identity,InternalUrl,BasicAuthenticationExternalUrl
Get-OabVirtualDirectory | Fl Identity,InternalURL,ExternalURL
Get-ActiveSyncVirtualDirectory | Fl Identity,InternalUrl,ExternalUrl
Get-OutlookAnywhere | Fl Server,ExternalHostname
Get-ClientAccessServer | Fl Server,AutoDiscoverServiceInternalURI

唯一一個引用了我們的虛假 TLD 內部主機名的是最後一個。這不只是為了自動發現嗎?為什麼內部客戶會在每次發佈時引用它?

這是設計使然。自動發現在內部和外部都在進行,它恰好預設為內部 CAS 伺服器名稱。

正如您已經知道的那樣,您需要更改所有服務以將外部 URL 也用作內部 URL,否則您的內部客戶端將收到證書錯誤。

引用自:https://serverfault.com/questions/593217