web-dev-qa-db-ja.com

セキュリティ証明書の名前が無効であるか、サイトの名前と一致しません

Exchangeサーバーは、しばらくの間、内部で署名された証明書を使用して実行されています。今日、私は信頼できるSSL証明書(ウィルカード)を購入し、サーバーにインストールしました。

証明書は* .example.noに発行され、Webブラウザーからhttps://mail.example.no/owaのWebインターフェイスにアクセスしてもセキュリティ例外は発生しません。

これで、Outlookを開くと、この証明書検証エラーが発生します。提供されているすべての標準ソリューションを試しましたが、ほとんどの場合、外部URLを内部URLとして設定する必要がありました。

  • 内部FQDNmx.example.local
  • 外部FQDNmail.example.no
  • エラーメッセージ:プロキシサーバーのセキュリティ証明書に問題があります。セキュリティ証明書の名前が無効であるか、ターゲットサイトmx.example.localの名前と一致しません。 Outlookはプロキシサーバーに接続できません。 (エラーコード10)

私がしたこと

Set-WebServicesVirtualDirectory –Identity ‘mx\EWS (Default Web Site)’ –ExternalUrl https://mail.example.no/ews/exchange.asmx

Set-WebServicesVirtualDirectory -Identity "mx\EWS (Default Web Site)" –InternalUrl https://mail.example.no/EWS/Exchange.asmx

Set-OABVirtualDirectory -Identity “mx\OAB (Default Web Site)” -InternalURL https://mail.example.no/OAB

Set-ActiveSyncVirtualDirectory -Identity “mx\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURL https://mail.example.no/Microsoft-Server-ActiveSync

Set-ClientAccessServer -Identity mx -AutodiscoverServiceInternalUri https://mail.example.no/autodiscover/autodiscover.xml

結果

[PS] C:\>Get-WebServicesVirtualDirectory | Select InternalUrl, BasicAuthentication, ExternalUrl, Identity | Format-List

InternalUrl         : https://mail.example.no/ews/exchange.asmx
BasicAuthentication : True
ExternalUrl         : https://mail.example.no/ews/exchange.asmx
Identity            : mx\EWS (Default Web Site)

[PS] C:\>Get-OabVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List

InternalUrl : https://mail.example.no/oab
ExternalUrl : https://mail.example.no/OAB
Identity    : mx\OAB (Default Web Site)

[PS] C:\>Get-ActiveSyncVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List

InternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync
ExternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync
Identity    : mx\Microsoft-Server-ActiveSync (Default Web Site)

[PS] C:\>Get-ClientAccessServer | Select Fqdn, AutoDiscoverServiceInternalUri, Identity | Format-List

Fqdn                           : mx.example.local
AutoDiscoverServiceInternalUri : https://mail.example.no/autodiscover/autodiscover.xml
Identity                       : mx

その後、私は持っています

  • IISアプリケーションプールMSExchangeAutoDiscoverAppPoolをリサイクルしました(メッセージが消えなかったので...)
  • メールサーバー全体を再起動しました(メッセージも消えなかったので...)
  • [コントロールパネル]-> [メール]-> [メールアカウント]に移動し、アカウントで[修復]を選択しました(この投稿を行っているので、これも効果がないと推測したかもしれません)
  • クライアントコンピューターのフラッシュされたDNS(自動検出URLが無視された場合)
  • メールアカウントをもう一度修復しました
  • アカウントを編集し、パブリックFQDN、mail.example.noをサーバーアドレスとして配置しようとしました
  • [〜#〜] edit [〜#〜]:アカウントを削除して再作成しようとしました。メールプロファイル全体、%AppData%\ Local\Outlookおよび%AppData%\ Local\Outlookフォルダーを削除しました。それでも成功しません。

私は今アイデアを使い果たしています...私がウェブ上で訪問したすべてのサイトは私が今したことをすることを示唆しており、結果は私の結果と同じであると期待されています..。

[〜#〜] update [〜#〜]:私のユーザーの1人は、ワークステーションからOutloookでログインすることさえできません。アカウントはOKです(携帯電話とWebクライアントのメールは機能します)が、Outlookはパスワードプロンプトを繰り返し続け、オフラインモードを終了しません。

[〜#〜] update [〜#〜]:Digicert WebサイトでSSLチェックを実行して、証明書が正常にインストールされているかどうかを確認しました。サーバーはすべてのチェックに合格しましたが、警告されたのはSSL 3.0プロトコルの使用のみでした:プロトコルサポートTLS 1.1、TLS 1.0、SSL3.0。 SSL 3.0は、既知の脆弱性を持つ古いプロトコルバージョンです。

UPDATE 150709

免責事項:この更新を行っても、実際の内部IPアドレスに影響はありませんでした

  • DNSに新しい前方参照ゾーンmail.example.noを設定し、メールサーバーの架空のIPアドレスである192.168.1.1を指す1つの空白(A)レコードを設定しました
  • 192.168.1.in-adds.arpaの逆引き参照ゾーンに、mail.example.noを指す192.168.1.1という名前のe(PTR)レコードがあります。
  • ダウンロード MicrosoftExchange用DigiCert®内部名ツール
  • ツールを実行したところ、アドレスはほぼ正しいものでしたが、OWAVirtualDirectory ECPVirtualDirectoryはまだmx.example.localを参照していたため、mail.example.noに変更しました。

nslookup出力は有望に見えます:

D:\>ipconfig /flushdns

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

D:\>nslookup mail.example.no
Server:  dc1.example.local
Address:  192.168.1.2

Name:    mail.example.no
Address:  192.168.1.1


D:\>nslookup 192.168.1.1
Server:  dc.example.local
Address:  192.168.1.2

Name:    mail.example.no
Address:  192.168.1.1

Outlookは.....

小さなテスト:

  1. アカウント設定->その他の設定->接続-> Exchangeプロキシ設定に移動しました。
  2. 接続URLをhttps://mail.example.noに変更しました
  3. 許可されたプリンシパル名をmsstd:*.example.noに変更しました
  4. Outlookを再起動しました。証明書エラーは表示されませんが、接続されていないことに気付きました...
  5. アカウント設定をもう一度、今回は自動修復を選択しました
  6. Outlookを再起動しました
  7. ここで、Exchangeプロキシ設定に戻ると、内部URLが返されました...
sslexchange-2013
1
Oskar Emil

私はこの正確な問題と戦っています。コメントするだけのポイントがありません。

しかし、興味があります。EXCHOutlookプロバイダーのCertPrincipalNameが設定されていますか?

Get-OutlookProvider

EXPRプロバイダーを設定する必要があるのは、ワイルドカード証明書では一般的です。しかし、RPCクライアント用にEXCHプロバイダーを設定する必要があるかもしれません。

Set-OutlookProvider EXCH -CertPrincipalName msstd:*.domain.com
1
Stephen F

サードパーティの発行者からの証明書は、Outlookを使用しているLANユーザーが証明書があなたのIISまたはExchange。

それ以外の場合、ユーザーは「SSL証明書名の不一致」の入力を求められ、場合によってはパスワードの入力を何度も求められます。

1
archergr