outlook弹证书警告的问题总结
最近通过搜集,整理了一些outlook客户端弹证书警告的问题汇总,分享给大家。
报错一:
该证书已经到期或还未生效
排查步骤
我们可通过以下两种方式,来检查证书的有效时间:
a. 在Outlook客户端,通过点击“查看证书“,查看证书是否在有效期内:
b. 在服务器端,使用以下命令来查看:
Get-ExchangeCertificate | fl Subject,NotBefore,NotAfter,Services
该问题一般是证书过期引起的,针对这种情况在ECP/EMC中更新(Renew)一下证书并重新分配服务即可。
报错二:
颁发该安全证书的公司不是你信任的公司。请查看证书以确定是否要信任该安全证书验证机构
排查步骤
出现该证书弹窗,一般是因为使用的自签名证书,或内部CA证书从外网访问。可以从ECP中查看证书是否为自签发证书,或内部CA颁发。
排查和解决方案如下:
a. 正在使用自签名证书
I. 点击"查看证书",把该证书导入到当前电脑的根信任目录中:
II. 使用内部CA颁发的证书,或购买三方证书来代替现有的自签名证书。(如果使用内部CA证书仍然出现该问题,可以按照上图手动导入该证书)
b. 使用内部CA颁发的证书在外网访问:
I. 手动把内部CA证书导入到本机的根信任目录中
II. 申请三方证书来替换现有的内部CA证书
报错三:
安全证书上的名称无效或与网站的名称不相符
排查步骤
这个报错是由于正在使用的证书中包含的SAN和Outlook尝试访问的URL不同。
可通过以下的两种方式来查看:
a. 直接点击 “查看证书” 检查这一个参数“Subject Alternative Name”
b. 使用命令行进行查看
I. 在服务器端,使用以下的命令来查看证书中包含的域名:Get-ExchangeCertificate | fl Subject,CertificateDomains,Services
II. 使用以下的命令,查看服务器各个服务使用的URL
Outlook端使用的服务:
Get-OutlookAnywhere | Select Server,InternalHostName,ExternalHostName
Get-MAPIVirtualDirectory | Select Server,InternalURL,ExternalURL
Get-OABVirtualDirectory | Select Server,InternalURL,ExternalURL
Get-WebServicesVirtualDirectory | Select Server,InternalURL,ExternalURL
Get-ClientAccessServer | Select Name,AutoDiscoverServiceInternalUri
其他服务(Web端+手机端+Powershell):
Get-OWAVirtualDirectory | Select Server, InternalURL,ExternalURL
Get-ECPVirtualDirectory | Select Server,InternalURL,ExternalURL
Get-ActiveSyncVirtualDirectory | Select Server,InternalURL,ExternalURL
Get-PowerShellVirtualDirectory | Select Server,InternalURL,ExternalURL
解决方案(二选一):
- 使用类似于以下的命令来修改各个服务的虚拟目录,使其URL和证书中的记录相同。(确保修改后的URL能够被成功解析)
Set-OABVirtualDirectory -Identity "Server1\OAB (Default Web Site)" -ExternalUrl "https://E13.domain.com/OAB" - 重新申请一张证书,确保包含正确的记录在里面。
以下为应用证书时额外需要注意的:
• 证书是基于服务器的,所以当环境中有多台Exchange服务器(分角色安装)的时候,为一台服务器安装或者更新证书之后一般也需要把证书导入到其他服务器上。
• 当把IIS服务分配到新的证书后,需要在CMD中以管理员权限运行IISReset来强制更新一下IIS服务。
• 需要把该证书上的服务分配给其它证书后才能成功删除该证书。