none
Exchange更換憑證後 非Domain Client 無法連線OWA RRS feed

  • 問題

  • 各位先進,大家好!

    如題,環境如下:

    當初是從 2000 Domain 及 Exchange 2000 升級至 2003 Domain 及 Exchange 2007
    CA憑證的部份是從2000匯出後,再匯入2003.
    Exchange 申請憑證時,其根憑證是從2000產生的舊憑證

    CA - Windows Server 2003 R2, DC, 企業根CA (沒對外)
      目前有效根憑證有:憑證A (舊的,從2000產生,匯入2003),到期日 2009年11月
               憑證B (新的,從2003產生),到期日2011年4月
    Exchange - Exchange 2007 SP1
      目前使用的憑證,由根憑證A而來

    更新步驟:
      1. Get-ExchangeCertificate 記錄目前正在使用中的憑證的 Thumbprint A
      2. Get-ExchangeCertificate -Thumbprint <thumbprint A> | New-ExchangeCertificate -GenerateRequest -PrivateKeyExportable:$true -Path c:\CAS.txt
      3. 向CA申請憑證,進階憑證要求 -> 用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提... -> 貼上c:\CAS.txt的內容 -> 憑證範本:網頁伺服器 -> 提交,下載憑證 c:\CAS.cer
      4. Import-ExchangeCertificate -Path c:\CAS.cer -FriendlyName "CAS"  → 產生 Thumbprint B
      5. Enable-ExchangeCertificate -Thumbprint <thumbprint B> -Services "IIS,POP,IMAP,SMTP"

    更新完畢後,未Join Domain的用戶端:
      1. 只安裝「舊根憑證」者,連結OWA則顯示「找不到伺服器」,ROH亦無法連線
      2. 沒有安裝憑證者,連結OWA則彈跳出安全性警告
      3. 只安裝「新根憑證」者,OWA及ROH皆正常

    再以指令切回舊憑證:Enable-ExchangeCertificate -Thumbprint <thumbprint A> -Services "IIS,POP,IMAP,SMTP"
    未Join Domain的用戶端:
      1. 只安裝「舊根憑證」者,OWA及ROH皆正常
      2. 沒有安裝憑證者,連結OWA則彈跳出安全性警告
      3. 只安裝「新根憑證」者,連結OWA則顯示「找不到伺服器」,ROH亦無法連線

    舊根憑證A及新根憑證B之差別:

               舊根憑證A   新根憑證B
      ----------------------------------------------------------
      產生伺服器版本: 2000      2003
      CA版本     : V2.0      V3.3
      公開金鑰   : RSA(512bit)  RSA(1024bit)
      到期日    : 2009年11月  2011年4月

    依個人理解範圍內,無論Client安裝的是哪一個根憑證,都要能夠正常連線OWA,頂多跳出安全性警告而已. (Domain Client就是如此)
    但只要是非Domain Client只安裝新根憑證配上Exchange用舊的憑證,或者非Domain Client只安裝舊根憑證配上Exchange用新的憑證,就會發生無法連線OWA的狀況.
    有何解決方法嗎?
    • 已變更類型 Limin Yu 2009年11月20日 上午 04:28
    2009年11月20日 上午 04:14

所有回覆

  • 您好,个人觉得,您无需如此复杂。既然凭证A即将过期(2009年11月),也安装了新的2003 CA,并由于是企业CA,不像第三方CA产生费用问题,您直接在exchange 2007上向2003 CA申请一个WEB证书即可。再在服务器上删掉之前申请的所有WEB证书(Thumbprint A\Thumbprint B).
    加入域的用户由于组策略自动信任新CA。域外的用户使用owa登录时下载证书即可。outlook anywhere(ROH)则需事先导入。
    Frank Wang
    2009年11月20日 上午 07:36