web-dev-qa-db-ja.com

証明書エラー:証明書の名前が一致しません...、。localを使用するOutlookクライアント

.local証明書は、もう有効ではなくなるため、最近Godaddyから廃止する必要がありました。新しい証明書には次の名前が含まれています。

  • mail.mydomain.com
  • autodiscover.mydomain.com

この証明書はExchangeサーバーに適用され、すべてのサービスに対してアクティブ化されています。

クライアントがmail.mylocaldomain.localの名前に接続されているため、クライアントが証明書でエラーを受け取ることを期待していました。私は多くのドキュメントを読みましたが、それらはすべてほぼ同じことを言っています:

  1. パブリックドメインを使用してローカルDNSサーバーに新しいゾーンを追加します(ゾーンを追加しましたmydomain.com
  2. 電子メールサーバーのローカルIPを指すレコードAを追加します(サーバーのローカルIPを指すmail.mydomain.comを追加しました)

私はこれらのコマンドを発行しました:

Set-ClientAccessServer -Identity EXCHANGE-MAIL -AutodiscoverServiceInternalUrihttps://mail.publicdomain.co.uk/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity “EXCHANGE-MAIL\EWS (Default Web Site)” –InternalUrlhttps://mail.publicdomain.co.uk/EWS/Exchange.asmx
Set-OABVirtualDirectory -Identity “EXCHANGE-MAIL\OAB (Default Web Site)” -InternalURL https://mail.publicdomain.co.uk/OAB
Set-ActiveSyncVirtualDirectory -Identity “EXCHANGE-MAIL\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURLhttps://mail.publicdomain.co.uk/Microsoft-Server-ActiveSync
Set-WebServicesVirtualDirectory –Identity ‘EXCHANGE-MAIL\EWS (Default Web Site)’ –ExternalUrlhttps://mail.publicdomain.co.uk/ews/exchange.asmx

適切な名前が含まれていますが、クライアントはまだ証明書エラーを受け取っています。

どうして?

2
Nickd

ExchangeサーバーのFQDN(完全修飾ドメイン名)はまだhostname.domainname.local、したがってクライアントはそれに接続し、接続先のサーバーの名前が、所有している証明書の名前またはSAN(サブジェクトの別名)と一致していないことを確認し、そのままエラーをスローします。行うように設計されています。

最も広い解決策は、Exchangeの移行を実行して、Exchangeサーバーを適切な名前のドメインに配置することです。このドメインには、信頼された公的認証局から発行された証明書を取得できます。

Active Directoryのベストプラクティスについては、このスレッドを参照してください 、これは、このテーマに関するいくつかのトピックの1つです。 Active Directory DNS名は、パブリックに登録されたドメイン名の未使用のサブドメインである必要があります。それを準備したら、Exchangeサーバーをそのサーバーに移行し、新しいExchangeサーバーのFQDNを含む発行された証明書を取得します。この証明書について、証明書を取得できます。

4
HopelessN00b

hopelessN00b IS不正解です。Exchangeがローカルホスト名を持っている場合でも、Exchangeを移行する必要はありません。パブリック名を指す内部DNSゾーンを追加すると、 autodiscoverinternaluriスイッチも変更します。

1
Nickd

解決策については、次のMicrosoft KB記事(940726)を参照してください。 http://support.Microsoft.com/en-us/kb/940726

Outlookは定期的にADをポーリングして自動検出設定を更新するため、Outlookが新しい設定を取得するまでに最大1時間かかる場合があります(またはOutlookを再起動して設定をすぐに更新できます)。

また、mail.mydomain.comがOutlookクライアント上のExchangeサーバーの内部IPアドレスを指していること、および新しい設定を適用した後、Exchangeサーバー上のMSExchangeAutodiscoverAppPoolをIISでリサイクルしたことを確認してください。 。

0
Twirlee