我已將 Windows 2003 伺服器設定為允許從 Internet 進行 SSL 訪問,特別是啟用所謂的 Outlook Web Access,即從 Internet 瀏覽 Exchange Server 資料。
以下步驟來自這個網站,我已經實現了使用內建 W2K3 憑證授權單位建立自發行憑證的目標,遵循建議使用與用於從 Internet 存取伺服器的 URL 相同的 cname,即 cname 已設定為「mydomain.com」 /exchange',因為這是用於從Internet 存取Exchange Server 資料的URL。
使用者可以連接,但他們面臨著繁瑣的不受信任的憑證錯誤。我讀過很多關於這個問題的文章。看起來這種情況發生在以下情況: - cname 和 URL 不相同 - 憑證是由不受信任的憑證授權單位頒發的
為了繞過這個問題,我嘗試強制訪問該網站的工作站接受證書,儘管該證書不是由知名證書頒發機構頒發的,但問題仍然存在。
我可以嘗試什麼?
編輯:
儘管發出了警告,但仍允許航行。這些是我收到的警告:
谷歌瀏覽器:
該網站的安全性憑證不受信任您嘗試存取 mydomain.com,但伺服器提供的憑證是由您的電腦作業系統不信任的實體頒發的。這可能意味著伺服器已產生自己的安全憑證,Google Chrome 無法依賴該憑證來獲取身份訊息,或者攻擊者可能試圖攔截您的通訊。(仍要繼續)
網際網路瀏覽器 9:
*該網站的安全證書有問題本網站提供的安全憑證並非由受信任的憑證授權單位所核發。
安全性憑證問題可能表示有人試圖欺騙您或攔截您發送到伺服器的任何資料。 *(繼續造訪此網站(不建議)。)
歌劇 11:
伺服器的憑證鏈不完整,簽署者未註冊。接受? 證書錯誤:「mydomain.com/exchange/」的證書由未知的證書頒發機構「WIN2003DC」簽署。無法驗證這是一個有效的證書”
答案1
如果伺服器和工作站都是相同 Windows 網域的成員,您可以為該網域建立 Windows 憑證授權單位,並讓它向 Web 伺服器發出憑證。 CA 的根憑證將自動在 Active Directory 中發布,並且網域中的所有電腦都將信任該根憑證及其頒發的任何憑證。這允許您的組織頒發自己的電腦信任的證書,而無需向某些第三方證書頒發機構付費。這些證書顯然只在您的組織內部受信任。
如果您沒有網域或用戶端電腦不屬於您的網域,則您需要由互信的第三方憑證授權單位所核發的憑證。您必須向他們支付證書費用。