我今天第一次使用 Self SSL 为我们的交易所 OMA/OWA 创建证书。我已将证书导入本地计算机上受信任的根证书颁发机构,这样它就不会提示证书不是来自受信任的来源。
然而,我仍然收到证书错误“无效证书”,IE8 浏览器栏变红并出现安全警告。当我查看证书时,它没有显示任何错误,并说证书很好。
谁能告诉我为什么会出现这个错误?自签名证书是正常的还是证书真的无效?
谢谢
【问题讨论】:
标签: ssl exchange-server outlook-web-app oma
确保您的 URL 和证书中的 CN(“通用名称”)属性匹配。例如,如果您使用 CN=localhost 创建证书,但您在 IE 中使用 https://machine.domain.topleveldomain 之类的东西访问它,那么 IE 将抱怨 machine.domain.topleveldomain 与 localhost 不同。我相信它会进行字符串比较。
确保证书已安装在本地计算机物理存储下的受信任根证书颁发机构 (TRCA) 中。
如果一切都安装正确,那么还有一种可能性。 Windows 有一个“功能”,可以从 TRCA 中清除不受信任的证书(根据 mircosoft 是不受信任的)。您可以先禁用此功能,然后重新安装证书。
打开 gpedit.msc 并向下钻取到 Computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication Settings > Turn off Automatic Root Certificates Update。启用Turn off Automatic Root Certificates Update。
Microsoft 提供了有关该功能的一些详细信息 - 它是一项安全功能,您的 TRCA 将与 Microsoft 的有效根证书数据库进行比较。
如果在您关闭该功能后它仍然仍然无法工作,那么您创建该证书的方式存在问题。您可以使用makecert 制作证书。 http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.80).aspx
如果您的计算机的完全限定名称是:machine.domain.com,您可以这样做:
makecert -n "CN=machine.domain.com" c:\file.cer
最终您可以通过以下方式访问您的资源:@987654323@
希望这会有所帮助。我遇到了相当多的自签名证书问题。
【讨论】:
https://domain.com 有效,但https://www.domain.com 无效?你试过makecert -n "CN=www.domain.com" C:\file.cer吗?除非您计划使用不同的端口,否则您不能拥有两个证书,因为您必须将证书绑定到 IIS 中的端口。您确实有一些选择:您可以通过使用 IIS web.config 设置从https://domain.com 重定向到https://www.domain.com,您可以绑定到多个端口,或者您可以制作一个同时具有www.domain.com 和domain.com 的证书.祝你好运!