머리카락을 다 뽑으니까 조언 부탁드립니다.
Exchange 2016이 있고 공식적으로 서명된 인증서 하나를 IMAP/S 포트 993/tcp 및 SMTP/S 포트 465/tcp 에 할당하고 싶습니다. 여러 구성 옵션을 거쳤지만 포트를 확인하면(를 사용하여 nmap) 두 포트 모두 완전히 다른 인증서를 나타냅니다. 지금은 Exchange 인증서 관리에 대한 전체적인 개념을 이해할 수 없습니다.
Exchange의 IMAP 설정
[PS] C:\Windows\system32>Get-ImapSettings | fl
RunspaceId : 669149f3-c8f4-43af-b80c-3019ec26bd08
ProtocolName : IMAP4
Name : 1
MaxCommandSize : 10240
ShowHiddenFoldersEnabled : False
UnencryptedOrTLSBindings : {[::]:143, 0.0.0.0:143}
SSLBindings : {[::]:993, 0.0.0.0:993}
InternalConnectionSettings : {mail.doamin.il:143:TLS, mail.domain.il:993:SSL}
ExternalConnectionSettings : {mail.domain.il:993:SSL, mail.domain.il:143:TLS}
X509CertificateName : mail.domain.il
Banner : The Microsoft Exchange IMAP4 service is ready.
LoginType : SecureLogin
AuthenticatedConnectionTimeout : 00:30:00
PreAuthenticatedConnectionTimeout : 00:01:00
MaxConnections : 2147483647
MaxConnectionFromSingleIP : 2147483647
MaxConnectionsPerUser : 16
MessageRetrievalMimeFormat : BestBodyFormat
ProxyTargetPort : 1993
CalendarItemRetrievalOption : iCalendar
OwaServerUrl :
EnableExactRFC822Size : False
LiveIdBasicAuthReplacement : False
SuppressReadReceipt : False
ProtocolLogEnabled : False
EnforceCertificateErrors : False
LogFileLocation : C:\Program Files\Microsoft\Exchange Server\V15\Logging\Imap4
LogFileRollOverSettings : Hourly
LogPerFileSizeQuota : 0 B (0 bytes)
ExtendedProtectionPolicy : None
EnableGSSAPIAndNTLMAuth : True
Server : SERVER
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
DistinguishedName : CN=1,CN=IMAP4,CN=Protocols,CN=SERVER,CN=Servers,CN=Exchange Administrative Group (FYDIBO
HF23SPDLT),CN=Administrative Groups,CN=SERVERADS,CN=Microsoft Exchange,CN=Services,CN=Configu
ration, DC=domain,DC=ils
Identity : SERVER\1
Guid : c2bfe9aa-f252-419a-910d-62687592dc34
ObjectCategory : domain.ils/Configuration/Schema/ms-Exch-Protocol-Cfg-IMAP-Server
ObjectClass : {top, protocolCfg, protocolCfgIMAP, protocolCfgIMAPServer}
WhenChanged : 2024. 01. 23. 20:56:48
WhenCreated : 2021. 04. 29. 16:12:26
WhenChangedUTC : 2024. 01. 23. 19:56:48
WhenCreatedUTC : 2021. 04. 29. 14:12:26
OrganizationId :
Id : SERVER\1
OriginatingServer : DC.domain.ils
IsValid : True
ObjectState : Unchanged
의 결과입니다 nmap.
[root@revenant ~]# nmap -p 993 --script ssl-cert mail.domain.il
Starting Nmap 7.92 ( https://nmap.org ) at 2024-01-23 22:09 CET
Nmap scan report for mail.domain.il (192.168.99.31)
Host is up (0.00027s latency).
PORT STATE SERVICE
993/tcp open imaps
| ssl-cert: Subject: commonName=*.domain.il/organizationName=IL Inc./stateOrProvinceName=F/countryName=IL
| Subject Alternative Name: DNS:*.domain.il
| Issuer: commonName=internal-ca/organizationName=IL Inc./stateOrProvinceName=F/countryName=IL
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2023-06-15T20:20:44
| Not valid after: 2028-06-13T20:20:44
| MD5: ffc2 d46a f66e b7ee 8f2c 0468 4f39 f01e
|_SHA-1: 626d bfac d38c db8f 5ea9 d328 c42c d94a d9fe 09c1
MAC Address: 00:0C:29:0D:B3:C3 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
명확히 말하면 두 개의 인증서가 있습니다. mail.domain.il은 Truster Root Issuer에 의해 승인되고 *.domain.il은 내 내부 CA에 의해 승인됩니다.
Exchange OWA는 IIS에서 mail.domain.il로 구성되어 있으며 잘 작동하지만 EXCHANGE 서비스가 이를 선택하지 않거나 서비스 작동 방식을 알지 못합니다.
Enable-ExchangeCertificate -Server SERVER -Thumbprint 1KJ24JH12G41JKG41J23H4G12JKL3G -Services IIS,SMTP,POP,IMAP여러 번 사용되었습니다. 정말 모든 것을 시도했지만 성공할 수 없습니다.
도와주세요.
답변1
EAC(Exchange 관리 센터) 또는 Exchange 관리 셸에서 서비스에 인증서를 할당할 수 있습니다. 서비스에 인증서를 할당한 후에는 할당을 제거할 수 없습니다. 특정 서비스에 대해 더 이상 인증서를 사용하지 않으려면 해당 서비스에 다른 인증서를 할당한 다음 사용하지 않으려는 인증서를 제거해야 합니다.
IMAP4 또는 POP3 서비스에 와일드카드 인증서를 할당해서는 안 된다는 점에 유의하는 것이 중요합니다. 대신 Set-ImapSettings cmdlet을 사용하여 클라이언트가 IMAP4 서비스에 연결하는 데 사용하는 FQDN(정규화된 도메인 이름)을 구성하고, Set-PopSettings cmdlet을 사용하여 클라이언트가 POP3 서비스에 연결하는 데 사용하는 FQDN을 구성합니다.