随着Exchange电子邮件系统在越来越多的企业中的兴起,员工也愿意使用OfficeOutlook收发电子邮件,极大地方便了工作中电子邮件的及时合理传输。但是客户在应用Outlook的时候,也会遇到越来越多的问题,比如Outlook证书错误的问题,导致手机客户端无法正常应用。今天,我们来谈谈outlook证书错误的问题。
众所周知,公司Exchange邮件系统对外地址的采集和发送必须配合对外地址证书的连接,否则全球很多权威认证都无法区分贵公司邮箱是否为合理合法的推送源,导致所有邮件无法正常收发。下图显示了您的证书管理方法中默认设置的一些“授信额度识别的根证书授予组织”。只有该机构授予的外网地址证书或专属证书,才能使应用拥有真实实际的运行管理权限和访问限制。
目前公司在搭建Exchange邮件服务器时,如果要发布外网地址,一般会申请两种证书,一种是“多域证书”,一种是“通配符证书”。通配符证书显示在*.contoso.com中,这意味着可以通过外网地址浏览所有二级域名。也是时下极力推荐的证书。因为这种证书的应用和验证范围比较广,所以本文提到的outlook证书不容易出错,所以不在本文讨论的范围内。
本文的重点是“多域证书”这一范畴。目前国内不同的证书授予机构购买的多域证书默认设置是具有五个二级域名的证书,因此命名为“多域证书”。也就是说,只有申请了本证书包含的二级域名公告服务,才能合理、合理、合法地浏览。
在当前的ExchangeServer部署中,通常使用微软强烈推荐的两个前端开发ca和两个后端开发MBX来部署高可用性DAG。
在这样的情况下,大家申请的“多域证书”一般包括以下多个二级域名:
我们可以看到,上述五个二级域名包含了两个前端开发网络服务器的FQDN。这样做的主要目的是督促客户开发手机客户端从前端浏览服务器虚拟机认证后,才能在根据内外网连接Exchange服务器时进行下一步的连接服务项目。但是两个CAS网络服务器的前端开发必须具有合理合法的效力,也就是说必须有自己的外网地址证书内容。这也是为什么前端开发的两台CASweb服务器的FQDN会加入到多域证书中的原因。(如果每台邮件服务器都是一体机,只需要申请这台网络服务器的FQDN即可。)
如果我们当时申请外部地址证书时忘记将前端开发网络服务器的FQDN添加到多域证书的内容中,或者扩展了旧邮件服务器的证书(CAS名称将不存在或者已经更改),那么您的手机客户端outlook在浏览Exchange邮件服务器时可能会遇到以下错误,导致客户无法正常使用outlook手机客户端。
那么如何解决这个问题呢?让我们来看看。
首先,我们可以思考一下。当客户使用outlook浏览Exchange邮件服务器时,会提醒证书出错。这个基础可以明确定义为手机客户端连接的情况,不能建立在认证的基础上。然后,每个人都可以以管理员身份打开EMS,使用get-outlookanywhere命令查询outlookanywhere的当前设置。
的确,大家在连接outlook的时候发现,网络服务器的内部IP地址和外部IP地址是不一样的。因为对外开放,大家公布的邮箱系统的连接名一般都是mail.contoso.com或者别的什么,但是内部连接IP地址却突然读成了你前端开发网络服务器的FQDN。这样一来,在没有前端开发CAS网络服务器的证书的情况下,大家真的无法按照网络服务器进行认证。那么大家只能通过改变这个值来避免这个问题。
首先,您应该按照下面的说明打开SSL卸载
get-outlookanywhere|Set-outlookanywhere-SSL卸载$true
然后按照下面两条指令统一内/外部IP地址,开放内外部客户的SSL认证需求。
Get-outlookanywhere|Set-outlookanywhere-internalhostnamemail.guochen.com-internalclientsrequiressl$true
Get-outlookanywhere|Set-outlookanywhere-externalhostnamemail.guochen.com-externalclientsrequiressl$true
以后根据Exchange2013ECP控制面板,检查所有虚拟目录的内部/外部URLIP地址是否统一为mail.xxx.com。如果没有,请将网址改为统一的网站域名。
此后,无论是在outlook内部还是外部浏览,每个人都可以找到他们的统一IP地址mail.xxx.com。这样就可以适当规避CAS证书带来的错误,让客户可以正常从内外网浏览到CAS服务器虚拟机认证,然后连接到后端开发MBX邮件数据库查询,进行所有正常的邮件应用。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)