ผมมีงาน Migrate Exchange 2010 เป็น Exchange 2016 แล้วไปเจอว่า Exchange 2010 ใช้ SelfSign Cetificate ซึ่งโดยปกติเราจะใช้ CA ภายในหรือซื้อ SSL Certificate มาใช้งานมากกว่า
นอกจากนั้น Selfsign Certificate ที่ใช้ก็มีแค่ DNS เดียว ก็จะขึ้น Error Certificate ให้ user ต้องกดทุกวัน ผมเลยทำ Selfsign Certificate ให้ใหม่โดนใส่ทุก DNS ลงไป พร้อมกับเพิ่มเข้า Trust Root Certificate ผ่าน GPO ให้ด้วย
วิธีนี้ช่วยให้ทุกเครื่องที่ Join Domain ไม่ขึ้น Error Certificate แต่สำหรับโทรศัพท์ Tablet หรือการใช้งานจากภายนอกก็ยัง Error เหมือนเดิม ตอนนี้แจ้งให้ลูกค้าซื้อ SSL Wildcard ไปแล้ว
คำสั่งสร้าง SelfSign Certificate แบบมีหลาย DNS
New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true
หลังจากสร้างเสร็จก็ใส่ Role ใน Exchange แลัว Export มาใช้กับ GPO ให้เครื่อง Client Trust ได้เลยครับ