کانفیگ مربوط به رفع خطای سرتیفیکیت اوتلوک
در این مقاله کانفیگ مربوط به رفع خطای سرتیفیکیت اوتلوک را بررسی خواهیم نمود. پس از نصب ایمیل سرور Exchange 2016 وقتی کاربران از طریق اوتلوک به Exchange متصل می شوند با خطای Certificate مواجه می شوند که این مورد مربوط به URL و SSL استفاده شده می باشد که در این مقاله نحوه رفع این مشکل را بررسی خواهیم نمود. شرکت پردیس پارس مجری پروژه های خدمات ایمیل سرور مبتنی Exchange Server 2007، Exchange Server 2010، Exchange Server 2013 و Exchange Server 2016 می باشد. همچنین کارشناسان فنی پردیس پارس آماده ارائه خدمات آپگرید ایمیل سرور از نسخه های قدیمی Exchange به نسخه های جدید برای مشتریان عزیز می باشند.
هشدار سرتیفیکیت در اوتلوک پس از نصب Exchange Server 2016
پس از نصب Exchange Server 2016 ممکن است از کاربران گزارشی مبنی بر هشدار امنیتی سرتیفیکیت که در اوتلوک آنها ظاهر شده است بگیرید.
مثال از یک هشدار سرتیفیکیت اوتلوک
هشدار سرتیفیکیت معمولاً به دو علت این اتفاق می افتد:
• نام گواهی امنیتی اشتباه است یا با نام سایت همخوان نیست
• گواهی امنیتی توسط جایی صادر شده است که جزو Trusted های ویندوز نیست
به چه علت اوتلوک این پیغام خطا را نمایش می دهید؟
وقتی شما Exchange Server 2016 در محیط اکتیودایرکتوری نصب می کنید، در روند ستاپ یک Service Connection Point (SCP) جهت سرویس Auto Discover ثبت می کند. Auto Discover جهت پیدا کردن سرور و سرویس ها برای کلاینت ها استفاده می شود. برای مثال اوتلوک در اولین باری که اجرا می شود و یک پروفایل جدید ایجاد می کند، از Auto Discover جهت پیدا کردن تنظیمات مربوط به مربوط استفاده می کند، در نتیجه پروفایل به صورت اتومات پیکربندی می شود (به جای وارد کردن دستی اطلاعات سرور و سایر جزئیات).
به صورت پیش فرض Auto Discover SCP به صورت یک URL که در بر دارنده نام سرور به صورت FQDN می باشد ثبت می شود. شما می توانید URL مربوط به Auto Discover را با کامند Get-ClientAccessService در Power Shell ببینید. برای مثال:
[PS] C:\>Get-ClientAccessService -Identity EXSERVER | Select AutodiscoverServiceInternalUri
AutoDiscoverServiceInternalUri
——————————
نکته: نسخه های قبلی Exchange از کامند Get-ClientAccessServer استفاده می کردند. با تغییراتی که در معماری Exchange Server 2016 ایجاد شد کامند جدید جهت انجام این کار مدیریتی Get-ClientAccessService می باشد. کامند قدیمی نیز همچنان موجود می باشد اما در صورت استفاده از آن هشداری مبنی بر منسوخ شدن آن کامند مشاهده خواهید کرد.
Autodiscover از طریق یک کانکشن HTTPS (SSL) برای کلاینت ها قابل مشاهده می باشد. همچنین Exchange Server دارای تعدادی وب سرویس دیگر نیز می باشد، نظیر Exchange Web Service (EWS)، Outlook on The Web (OWA)، ActiveSync برای موبایل ها و Outlook AnyWhere برای کلاینت های اوتلوک.
چون این کانکشین روی HTTPS می باشد، گواهی امنیتی ای که روی سرور پیکربندی می شود باید دارای سه شاخصه ذیل باشد تا از دید کلاینت معتبر شناخته شود:
• گواهی امنیتی باید از یک صادر کننده معتبر (جزو Trusted های ویندوز باشد) صادر گرد
• گواهی امنیتی منقضی نشده باشد
• نامی که در گواهی امنیتی درج شده است با نام سرور و یا URL ای که کلاینت ها با آن کانکت می شوند برابر باشد
چگونه هشدار گواهی امنیتی را اصلاح کنیم؟
دو راه برای این کار وجود دارد:
1. پیکربندی Autodiscover URL برای سرویس
2. نصب یک گواهی امنیتی معتبر
پیکربندی Autodiscover URL برای سرویس
پیشنهاد نمی شود که Autodiscover URL را با FQDN سرور یکی کنید. بجای آن باید با یک نام مستعار دیگر جایگزین کنید. این کار بخشی از برنامه ریزی Client Access Name Space می باشد.
در این مثال من می خواهم Autodiscover URL را به نام DNS ای mail.pardispars.com.com تغییر دهم.
[PS] C:\>Set-ClientAccessService -Identity EXSERVER -AutoDiscoverServiceInternalUri https://mail.pardispars.com/Autodiscover/Autodiscover.xml
این یک URL جدید می باشد که می بایست اقدامات مربوط به مقاله بعدی را نیز اعمال نمایید. برای کلیه سرویس ها باید این تغییر URL انجام شود. شما می توانید اطلاعات بیشتر را قسمت مربوط پیکربندی Name Space را در مقاله بعدی مطالعه کنید.
در بعضی موارد یک ریست سرویس IIS جهت تکمیل کار پیکربندی Name Space نیاز می باشد.
همچنین ممکن است شما نیاز داشته باشید که یک رکورد برای Name Space در DNS Server ایجاد کنید. در این مثال من یک رکورد به نام Mail که به IP سروری که در آن Exchange Server 2016 نصب کرده ام اشاره می کند، در DNS Server داخلی خودم اضافه نمودم. در این مثال چون ما به صورت تک سروری نصب نمودیم به یک IP اشاره می کند اما در محیطی که دارای چند سرور می باشد باید به IP که به صورت Round Robin یا Load Balancer عمل می کند اشاره کنیم.
نصب یک گواهی امنیتی معتبر
با پیکربندی صحیح Namespace و قرارگیری رکورد در DNS، شما نیاز به تدارک یک گواهی امنیتی برای Exchange Server 2016 خواهید داشت. اگر این موضوع برای شما جدید می باشد پس پیشنهاد می کنم مطالب مربوطه را در قسمت گواهی امنیتی برای Exchange Server 2016 مطالعه کنید.
جهت تدارک یک گواهی SSL برای Exchange Server مراحل به صورت ذیل می باشد:
1. ایجاد یک درخواست امضای گواهی (Certificate Signing Request: CSR)
2. ارسال CSR به یک صادر کننده گواهی امنیتی
3. تکمیل درخواست گواهی برای Exchange Server
4. فعالسازی گواهی امنیتی در سرویس های Exchange
خلاصه
دلایل معمول در مورد هشدار گواهی امنیتی در بردارنده هشدار عدم همخوانی با Name Space و گواهی امنیتی خراب می باشد. از مراحل نشان داده شده در بالا جهت نصب یک گواهی امنیتی معتبر و یا پیکربندی مجدد Name Space استفاده کنید. وقتی پیکربندی مجدد انجام شد دیگر این پیغام هشدار گواهی امنیتی نباید ظاهر شود.