Exchange 2007 sp2 にアップデートした後 (かなり遅れましたが)、Outlook にログオンするときに問題が発生します。以下のメッセージが表示されます...
代替テキスト http://www.freeimagehosting.net/uploads/1960a40166.jpg
私も Web アクセスで同様の問題を抱えていましたが、IIS に慣れているので簡単に解決できました。ただし、サーバーに autodiscover.mycompamy.com、exchange.mycompamy.com などのキーがいくつか含まれていることに気付きました。SP2 にアップグレードしても、これをどう処理すればよいかがわからなかったようです。
ワイルドカード SSL を使用しているため、他のすべての証明書を削除するのが賢明だと思いますが、Outlook を開いたときにこのエラーが表示されないようにするには、どうすればよいでしょうか。
答え1
EMS から get-exchangecertificate を実行します。これにより、すべての証明書とそれらが使用されている場所が表示されます。サービスでは、I は IIS を表し、ワイルドカード証明書に適用する必要があります。適用されていない場合は、ワイルドカード証明書のサムプリントをコピーして、次のコマンドを実行します。
enable-exchangecertificate -thumbprint <paste thumbprint here>-services IIS
その後、再度接続を試してください。
答え2
これは、SP2 によって実際に発生した問題というよりも、IIS/Exchange の設定ミスのように見えます。一部の設定が既定値にリセットされたために、この動作が発生したのかもしれません。
スクリーンショットには、ホスト名「autodiscover.ad.unc.edu」を使用して自動検出サービスが呼び出されたことが示されています。そこで「証明書の表示」ボタンをクリックすると、実際に使用された証明書を確認し、呼び出された URL と一致するかどうかを確認できます。
また、「autodiscover.ad.unc.edu」は内部ドメイン(AD 使用に特化したメイン ドメインのサブドメイン)のように見えます。これが実際に使用すべき名前である場合(本当にそうでしょうか?)、多くのブラウザーが第 2 レベルのサブドメイン(*.*.domain.com)のワイルドカード証明書を正しく処理しないことが知られているため、ワイルドカード証明書では不十分な可能性があります。
答え3
明らかに、アドレス バーのドメインは、サイトの証明書の共通名またはサブジェクト別名 (SAN) フィールドと一致しませんでした。
例えばhttp://www.ssltools.com/certificate_lookup/autodiscover.ad.unc.eduショー
共通名: outlook.unc.edu
件名の別名: outlook.unc.edu、autodiscover.ad.unc.edu、ad.unc.edu、outlook.ad.unc.edu、manning.outlook.unc.edu、franklin.outlook.unc.edu
発行者名: DigiCert High Assurance CA-3
シリアル番号: 09:85:58:8e:02:1e:74:05:88:7b:11:cc:3e:0a:f6:0c
SHA1 サムプリント: F3:D6:8E:EC:2D:C7:0D:B1:DD:C8:EA:67:69:9B:C0:A9:03:62:73:FB
キーの長さ: 2048 ビット
署名アルゴリズム: sha1WithRSAEncryption
セキュアな再ネゴシエーション: サポートされていません
証明書が UCC であることが表示され、ブラウザのアドレス ウィンドウに autodiscover.ad.unc.edu と入力すると正しく表示されます。SAN エントリの一部に 1 レベル以上のサブドメインがあるため、ワイルドカードは機能しません。