보안 인증서 이름이 유효하지 않거나 사이트 이름과 일치하지 않습니다.

tag-icon tag-icon ssl exchange-2013
보안 인증서 이름이 유효하지 않거나 사이트 이름과 일치하지 않습니다.

우리 Exchange 서버는 한동안 내부 서명된 인증서로 실행되어 왔습니다. 오늘은 신뢰할 수 있는 SSL 인증서(wiilcard)를 구입하여 서버에 설치했습니다.

인증서는 *.example.no로 발급되며 https://mail.example.no/owa웹 브라우저에서 웹 인터페이스에 액세스할 때 보안 예외를 제공하지 않습니다.

이제 Outlook을 열면 이 인증서 유효성 검사 오류가 발생합니다. 나는 제공된 모든 표준 솔루션을 시도했는데, 여기에는 주로 외부 URL을 내부 URL로 설정하는 것이 포함되었습니다.

  • 내부 FQDN:mx.example.local
  • 외부 FQDN:mail.example.no
  • 에러 메시지: 프록시 서버의 보안 인증서에 문제가 있습니다. 보안 인증서의 이름이 유효하지 않거나 대상 사이트 mx.example.local의 이름과 일치하지 않습니다. Outlook이 프록시 서버에 연결할 수 없습니다. (오류 코드 10)

제가 한:

Set-WebServicesVirtualDirectory –Identity ‘mx\EWS (Default Web Site)’ –ExternalUrl https://mail.example.no/ews/exchange.asmx

Set-WebServicesVirtualDirectory -Identity "mx\EWS (Default Web Site)" –InternalUrl https://mail.example.no/EWS/Exchange.asmx

Set-OABVirtualDirectory -Identity “mx\OAB (Default Web Site)” -InternalURL https://mail.example.no/OAB

Set-ActiveSyncVirtualDirectory -Identity “mx\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURL https://mail.example.no/Microsoft-Server-Activesync

Set-ClientAccessServer -Identity mx -AutodiscoverServiceInternalUri https://mail.example.no/autodiscover/autodiscover.xml

결과:

[PS] C:\>Get-WebServicesVirtualDirectory | Select InternalUrl, BasicAuthentication, ExternalUrl, Identity | Format-List

InternalUrl         : https://mail.example.no/ews/exchange.asmx
BasicAuthentication : True
ExternalUrl         : https://mail.example.no/ews/exchange.asmx
Identity            : mx\EWS (Default Web Site)

[PS] C:\>Get-OabVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List

InternalUrl : https://mail.example.no/oab
ExternalUrl : https://mail.example.no/OAB
Identity    : mx\OAB (Default Web Site)

[PS] C:\>Get-ActiveSyncVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List

InternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync
ExternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync
Identity    : mx\Microsoft-Server-ActiveSync (Default Web Site)

[PS] C:\>Get-ClientAccessServer | Select Fqdn, AutoDiscoverServiceInternalUri, Identity | Format-List

Fqdn                           : mx.example.local
AutoDiscoverServiceInternalUri : https://mail.example.no/autodiscover/autodiscover.xml
Identity                       : mx

그 후 나는

  • IIS 응용 프로그램 풀 MSExchangeAutoDiscoverAppPool을 재활용했습니다(그래도 메시지가 사라지지는 않았으므로 ...).
  • 전체 메일 서버를 다시 시작했습니다. (그래도 메시지가 사라지지는 않았으므로 ...)
  • 제어판 -> 메일 -> 이메일 계정으로 이동하여 내 계정에서 복구를 선택했습니다. (이 게시물을 작성하고 있으므로 이것도 아무 효과가 없다고 짐작하셨을 것입니다.)
  • 클라이언트 컴퓨터의 DNS 플러시(자동 검색 URL이 무시된 경우)
  • 이메일 계정을 다시 한 번 복구했습니다.
  • 계정을 편집하고 공개 FQDN인 mail.example.no를 서버 주소로 입력하려고 했습니다.
  • 편집하다: 계정을 삭제하고 다시 생성하려고 했습니다. 전체 메일 프로필, %AppData%\Local\Outlook 및 %AppData%\Local\Outlook 폴더를 삭제했습니다. 아직도 성공하지 못했습니다.

이제 아이디어가 고갈되고 있습니다... 웹에서 제가 방문한 모든 사이트는 제가 방금 한 일을 수행한다고 제안하고 결과도 제 결과와 같을 것으로 예상됩니다....

업데이트: 내 사용자 중 한 명이 워크스테이션에서 Outlook으로 로그인할 수도 없습니다. 계정은 정상이지만(휴대폰의 메일 및 웹 클라이언트는 작동함) Outlook에서 비밀번호 프롬프트를 계속 반복하고 오프라인 모드를 종료하지 않습니다.

업데이트: Digicert 웹사이트에서 SSL 검사를 수행하여 인증서가 제대로 설치되었는지 확인했습니다. 서버가 모든 검사를 통과했지만 제가 경고를 받은 유일한 것은 SSL 3.0 프로토콜(프로토콜 지원 TLS 1.1, TLS 1.0, SSL 3.0)을 사용한다는 것이었습니다. SSL 3.0은 취약점이 알려진 오래된 프로토콜 버전입니다.

업데이트 150709:

면책 조항: 이 업데이트로 인해 실제 내부 IP 주소가 손상되지 않았습니다.

  • mail.example.no메일 서버의 가상 IP 주소인 192.168.1.1을 가리키는 빈(A) 레코드 하나를 사용하여 DNS에 새로운 정방향 조회 영역을 설정했습니다.
  • 192.168.1.in-adds.arpa에 대한 역방향 조회 영역에는 mail.example.no를 가리키는 192.168.1.1이라는 e(PTR) 레코드가 있습니다.
  • 다운로드됨Microsoft Exchange용 DigiCert® 내부 이름 도구
  • 도구를 실행했는데 주소는 대부분 정확했지만 OWAVirtualDirectory ECPVirtualDirectory는 여전히 mx.example.local을 참조하고 있었기 때문에 이를 mail.example.no로 변경했습니다.

nslookup출력이 유망해 보입니다.

D:\>ipconfig /flushdns

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

D:\>nslookup mail.example.no
Server:  dc1.example.local
Address:  192.168.1.2

Name:    mail.example.no
Address:  192.168.1.1


D:\>nslookup 192.168.1.1
Server:  dc.example.local
Address:  192.168.1.2

Name:    mail.example.no
Address:  192.168.1.1

아웃룩은 그렇지 않습니다.....

소규모 테스트:

  1. 계정 설정 -> 추가 설정 -> 연결 -> Exchange 프록시 설정으로 이동했습니다.
  2. 연결 URL을 다음으로 변경했습니다.https://mail.example.no
  3. 허용된 주체 이름을 다음으로 변경했습니다.msstd:*.example.no
  4. 아웃룩을 다시 시작했습니다. 지금은 인증서 오류가 뜨지 않는데 연결이 안된걸로 뜹니다...
  5. 계정 설정을 다시 한번, 이번에는 자동 복구를 선택했습니다
  6. Outlook을 다시 시작했습니다.
  7. 이제 Exchange 프록시 설정으로 돌아가면 내부 URL이 반환됩니다...

답변1

타사 발급자의 인증서는 인증서가 IIS 또는 Exchange에 있을 때 Outlook을 사용하는 LAN 사용자가 도달하려고 하는 로컬 자동 검색과 함께 작동할 수 있도록 내부 FQDN을 주체 대체 이름으로 가져야 합니다.

그렇지 않으면 사용자에게 "SSL 인증서 이름 불일치"라는 메시지가 표시되고 어떤 경우에는 비밀번호를 반복해서 입력하라는 메시지가 표시됩니다.

답변2

저는 이 정확한 문제와 싸우고 있습니다. 댓글만 달기에는 포인트가 부족해요.

그런데 궁금합니다. EXCH Outlook 공급자 CertPrincipalName이 설정되어 있나요?

Get-OutlookProvider

EXPR 공급자를 설정해야 하는 것은 와일드카드 인증서의 경우 일반적입니다. 하지만 RPC 클라이언트에 대한 EXCH 공급자를 설정해야 할 수도 있다는 것을 알게 되었습니다.

Set-OutlookProvider EXCH -CertPrincipalName msstd:*.domain.com

관련 정보