Exchange 2k7's outlook Anywhere证书问题

tarian

问题1:使用OL时提示证书问题,如图一:

图一

说明:计算机名称为mail.test.com,外网域名为taihu.test.com.生成多域证书的命令是:
[PS] C:\>New-ExchangeCertificate -GenerateRequest -SubjectName "dc=com,dc=test,o=Qinghe Tech,cn=taihu.test.com" -DomainName taihu,mail.test.com,taihu.test.com,autodiscover.test.com,mail -path c:\cert.txt
导入证书的命令为:
[PS] C:\>import-exchangecertificate -path c:\certnew.cer -friendlyname "test.com" | enable-exchangecertificate -services "IIS,POP,IMAP,SMTP"
然后执行的步骤是:
1、查看刚才导入IIS的证书如图二：

图二
有问题，再看看Details项内容：如图三

图三
在图三中我们能看到现在的"主题备用名称"即"Subject Alternativa Name"项。
再继续看Certification Path，如图四：

图四
从图四中看出这个也有个X，也有问题是吧。现在点图四中的taihu再点右下角的View Certificate，如图五：

图五
这个证书没有问题，为何呢？这个应该叫“根证书”吧？再看这个“根证书”的Details项，如图六

图六
在这里永远都找不到“主题备用名称”即英文版的"Subject Alternativa  Name"。这又不知道为何。下面看“根证书”的第三项内容，如图七：

图七
这里好像也没有问题哦。
现在如果我把这两个证书导出到客户端安装上，那客户端连owa都打不开了，没有导入这个证书我还可以看到有个X，一旦导入了连个X都看不到了。
2、所以我接着就把IIS的证书更新了，点IIS右键属性，目录安全，服务器证书，接着点“更新证书”，图如八：

图八
接着就是把证书请求立即发送到联机证书颁发机构了。如图九

图九
完成之后，再点IIS的view certificate查看证书，没有图二那个错误了。不解啊。如图十

图十
好像没有问题啦，如果这时再查看现在的Details项里面就已经没有"Subject Alternativa Name"内容了，如图十一

图十一
我不知道为何现在就没有这个“主题备用名称了”。是哪里出错了呢？
如果现在再把这个证书导出到客户端，那么客户端打开OWA时就不会有个安全提示了，而是直接打开了。那个X会变成一把金锁了。

下面接着是第二个问题：
我上面提到了计算机名称为mail.test.com,外网域名为taihu.test.com.服务器设置的RPC等安装好，证书如上面一样导入，Exchange的anywhere也配置好，选择的是基本认证，地址填写的是taihu.test.com。下面就是总是关键了。先看图十二

图十二
从图中可能大家没有注意，我服务器地址填写的是mail.test.com，而不是taihu.test.com，为何呢？难道两个是一样的吗？我现在说，不一样。再把“其他设置”配置好，如图十三：

图十三
这里的代理服务器是和exchange 的anywhere中填写的一样的都是taihu.test.com，下面验证一定要选择为NTLM最后才行得通！不知为何？下面开始检查姓名，如果服务器地址填写的为taihu.test.com，那就会出现图十四的错误：

图十四
如果图十二中服务器地址中填写的是mail.test.com，那就能返回用户的别名，前提是代理服务器那要像图十三那样设置。返回如图十五：

图十五
这样可以收发邮件了，一旦打开OL收发邮件就会出现图一的错误


下面请求大家的解决方法。由于问题一环环相扣的，可能我自己都没有理清析，所以也问得有点糊涂，请大家帮助。

谢谢

Tarian Wei

tdk

我毫不夸张的说经过你几个贴子的讨论，自己已经糊涂了
在这里只能帮你推测
1.图一 第三项错误很明显是 证书问题
你打开owa，看看证书中都有什么域名
记得你用get-exchangecert。。看到很多证书，可能太多搞错了，
我认为最好删除无用证书。
2。 taihu,mail.test.com,taihu.test.com,autodiscover.test.com,mail
taihu 和 mail 没用，去掉
3。即使owa因为证书打不开，建议重新enable证书，而不是重新申请
重新申请就又是一个新的了。图八图九你就是重新申请了新的证书，
备用域名当然没有了。
4。图十二十三我认为应该都用同一个域名，具体原因需要解决前面问题在讨论了。

tarian

那在整个问题中，客户端需要的证书从IIS中导出，这一步有问题否？
您第一点说了我现在服务器由于申请了很多证书,所以用命令certmgr.msc可以删除里面已经使用的证书吗?

谢谢

[ 本帖最后由 tarian 于 2008-8-26 09:39 编辑 ]

tdk

先做尝试吧，对于你的这个情况我没有什么把握：
1. iis中导出这个不好理解。
这样说可能清楚些：浏览cert iis网站，然后下载ca跟证书
2. 删除证书需要用remove-cert... 命令 删除exchange中所占用的证书
certmgr.msc中直接吊销系统日志里面应该会报错

tarian

已经使用命令remove-exchangecertificate删除所有以前使用的证书,但最后有一个证书应该在使用而无法删除.虽然当时这个证书是多域证书,但现在看不到是多域了.如何处理?
您说的C根证书下载是https://localhost/certsrv下载吗?但是我打开这个页面显示为无此网页.

chrisqian

证书是否在本地客户端安装？

tdk

原帖由 tarian 于 2008-8-26 10:23 发表
已经使用命令remove-exchangecertificate删除所有以前使用的证书,但最后有一个证书应该在使用而无法删除.虽然当时这个证书是多域证书,但现在看不到是多域了.如何处理?
您说的C根证书下载是https://localhost/certsr ...

1。
什么叫看不到多域了？在哪儿看的？ get-exchangecert.. |fl *  ?
如果确认是多域，按指纹在certmgr.msc中看看证书状态是否正常
如果正常 重新enable-exchangecert..
重启iis
2。
一般是http://证书服务器ip/certsrv   不是https 具体看你机器如何配置的了
而且不是匿名访问

tarian

1.刚才把以前的证书删除之后,再打开OWA,无法访问,恢复IIS为最早的备份,疑是因为证书问题,故现在重新申请一个多域证书.查看证书使用的命令就是get-exchangecertificate | fl *
在certmgr.msc中已经无taihu颁发的证书,因为之前不知道使用remove-exchangecertificate删除证书,所以在certmgr.msc中把所有taihu颁发的证书都删除了.这可能就是造成现在OWA打不开的原因.
2.我的证书服务器是在另外一台虚拟机上,上面安装有测试使用的EX,所以我说的是HTTPS://LOCALHOST/CERTSRV.我只知这个证书服务器只能申请证书,申请完了下载申请的证书关闭网页,下次就不会再有这个证书的信息在CA证书服务器上了.为何还要从CA服务器下载证书到客户端呢?之前申请好的那个证书不是拿到EX服务器上导入到IMAP,POP里面去的吗?难道也适用于客户端吗?

3.刚把生成的多域证书导入之后,使用命令查看现在所有的证书,发现有两个,一个是刚才导入的,一个是以前的.准备把以前的删除时,提示默认的证书无法删除.怎办?

谢谢

[ 本帖最后由 tarian 于 2008-8-26 10:52 编辑 ]

tdk

那是webserver证书
来给我做实施的人告诉我说必须用ca跟证书，具体原因俺也不知掉了
没像你这么认真研究做实验，我就是傻学 呵呵
iis又恢复了？  owa不能访问说明就是证书问题，有没有重新激活？
certmgr中已经没有任何证书了吗？不是有一个不能删除吗？

tdk

enable-exchangecert... -server none 旧证书
激活 新整证书
删除旧证书
试试看