MailStore Client / Outlook Add-In 无法连接到 MailStore Server。错误消息:SSL/TLS 证书验证失败。服务器名称由组策略强制执行,但证书验证失败。

作者:mailstore,发布时间:2023-07-02 20:02:41

问题:

MailStore Client/Outlook 加载项无法连接到邮件归档服务器。错误消息:SSL/TLS 证书验证失败。服务器名称由组策略强制执行,但证书验证失败。

根本原因:

如果管理员决定通过组策略指定服务器名称,则以这种方式指定的服务器的机密性不应由最终用户决定。在这种情况下,域管理员必须采取必要的步骤来建立机密性,也可能通过 GPO。由于将可能的自签名证书作为可信根证书颁发机构分发的工作与证书指纹的白名单没有区别,但显着降低了开发端的复杂性并使其不易出错,因此在 V13 MailStore 自己的白名单组策略中删除了使用证书指纹的选项。

解决方案:

如果您在 MailStore Server 中使用既不是从 Let’s Encrypt 获取的自签名证书,也不是从其他受信任的根证书颁发机构获取的,请注意以下事项:

通过组策略指定服务器名称后,MailStore Outlook 加载项和 MailStore 客户端将期望 MailStore Server 使用的证书有效。这意味着服务器证书既不能过期,也不能被撤回,服务器名称必须存储在证书中,并且证书必须由可信的根证书颁发机构(可能由其自己的内部证书颁发机构)颁发。

自签名证书则不是后者。如果您没有使用由可信证书颁发机构颁发的证书的选项,则可以在 MailStore Server 服务配置中创建合适的自签名证书,将其保存在文件中,然后将其作为“受信任的根证书颁发机构”发送到客户端。
在分发登录信息的组指南的情况下,请确保指定的服务器名称与证书中颁发的名称匹配,即没有输入不同的名称甚至IP地址。