Exchange 2010 混合、SMTP、SSL 证书和使用者备用名称

在每台 Exchange 服务器上，您都需要 SSL 证书来进行身份验证、验证和加密。对于 SMTP，您可以使用自签名证书。 Exchange 2010 使用机会性 TLS，因此在这种情况下可以使用自签名证书。如果您需要在 Exchange 上配置域安全（相互 TLS），则需要适当的第三方 SSL 证书。

混合场景中 Office 365 和 Exchange 之间的 SMTP 通信是相互 TLS 或域安全的一个示例。您的 Exchange 服务器上需要正确的第 3 方 SSL 证书。

我一直认为相互 TLS 只能使用证书的通用名称，在我的场景中是 CN=webmail.inframan.nl。在上一篇博文之后，对此进行了有趣的讨论（请参阅这篇特定博文的评论），所以现在是时候进行一些测试了。

最初，我有一个带有通用名称 CN=webmail.inframan.nl 的 Digicert SSL 证书和一个主题备用名称条目 autodiscover.webmail.com。在 HCW 期间，我输入了 webmail.inframan.nl 并选择了正确的证书。

是时候更新我的 SSL 证书了，因此我添加了一个额外的 SAN 条目 o365mail.inframan.nl。

在我的 Exchange 2010 服务器上再次运行混合配置向导时，我选择了正确的 SSL 证书：

并输入额外的 FQDN o365mail.inframan.nl:

验证连接器时，它成功成功，但仔细观察时，它仍然使用旧的 FQDN webmail.inframan.nl。

我希望这里有新的 FQDN，但显然 HCW 不会在我的 Exchange 2010 上重新配置 Office 365 接收连接器。它仍然配置为 webmail.inframan.nl：

因此，将其更改为 o365mail.inframan.nl 后：

验证过程再次成功，但现在使用 o365mail.inframan.nl FQDN（以及 SSL 证书上的 SAN 条目）用于从 Office 365 到 Exchange 2010 的邮件流：

因此，与我之前的看法相反，您不需要为额外的 FQDN 使用单独的 SSL 证书，但您还可以在现有 SSL 证书上使用额外的 SAN 条目。

有关混合部署的证书要求的更多信息，请访问：https://technet.microsoft.com/en-us/library/hh563848(v=exchg.141)

你为什么要首先使用这个？

当使用一两个 Exchange 2010 服务器时，这是没有意义的，但我也有一个客户拥有 28 台 Exchange 2010 服务器，运行着 40,000 个邮箱，在这里我们希望将 Office 365 SMTP 流量与常规 SMTP 流量分开。查看证书时，仅维护一个带有附加 SAN 条目的 SSL 证书比维护仅带有一个域名的附加 SSL 证书更容易。

特别感谢“Trekveer Harry”为我指明了这个方向 ?