Толстый Outlook 2010 ругается на сертификат
 

Exchange 2010. Сертификаты перевыпускал самостоятельно через локальный ЦС на контроллере домена. OWA работает без проблем, внешние POP3/IMAP-клиенты тоже, а вот толстый Outlook вываливает предупреждение о том, что сертификат выдан недоверенной организацией и просрочен. Имя сертификата вида myfirma.ru. Причем это совсем не тот сертификат, что отображается в сертификатах IIS-сервера и в консоли Exchange 2010. Как можно поправить, чтобы такого не происходило?

а какой тогда это?
если пользователи - внешние и внутренние, то там должны быть имена всех доменов, как внутренний и как внешних.
РОР3\ИМАП - им всё равно, если они не используют SSL.

В процессе подключения по автодискавер Outlook проверяет вебсайт domain.ru и там может быть другой сертификат.

Опция в Outlook "Проверить автоконфигурацию Outlook" вам поможет.

а разве первый не autodiscover.domain.ru ?
я столкнулся с ситуацией, когда у одного домена стояла запись А *.domain.ru (т.е. не было отдельной на autodiscover), вот тогда он и лез на domain.ru.
Добавили запись А на autodiscover - всё ок стало.

в сертификатах Exchange у меня имя сертификата mail.myfirma.ru, а в Outlook'е вылезает firma.ru
У меня как раз с SSL, и там подхватывается нужный сертификат.

Pavel Nagaev, похоже, Вы правы. Зашел в браузере на https://myfirma.ru - и браузер заругался на тот же сертификат. Дело в том, что сайтом занимаются другие люди и сертификат, соответственно, подхватился не тот. И на том сервере, где хостится сайт, хостится их почта.
Судя по логам проверки конфигурации, Outook сначала лезет на myfirma.ru/autodiscover/autodiscover.xml и находит там кривой сертификат от чужой почты.

Присоединяюсь к вопросу, т.к. autodiscover.myfirma.ru прописан во внешнем DNS, но в данной ситуации игнорируется.

потому что вы там в ручную указываете сервер, к которому подключать и от куда берётся сертификат.

есть у вас в ДНС запись А указывающая на autodiscover.domain.ru ?

сейчас проверил тут https://www.testexchangeconnectivity.com autodiscover.domain.ru вторая проверка, если с первой что-то не то.

Да, есть, я писал об этом выше.

Посмотрел на https://www.testexchangeconnectivity.com
Сначала проверяется myfirma.ru. Когда доходит до того, что сертификат просрочен, проверка прекращается и начинается проверка autodiscover.myfirma.ru. Там все завершается успешно (я снял галочку "Пропустить доверие SSL" в мастере проверки, т.к. сертификат не коммерческий).

Толстый Outlook 2010, похоже, действует по той же схеме, поэтому и вываливается окно с предупреждением, когда он лезет на https://myfirma.ru/autodiscover/ в попытке найти Autodiscover.xml (которого там нет). Я так понимаю, данная логика "зашита" в Outlook и ничего поправить не удастся, кроме как попросить тех, кто занимается сайтом, перевыпустить сертификат с нормальным сроком действия и прописать его на клиентских машинах в Root-CA?

Проблему решили закрытием HTTPS-порта на myfirma.ru
Но что интересно, на других доменах, где у сертификатов невалидные имена или они являются самоподписанными, но имеют валидный срок действия, Outlook 2010 не ругается. Очевидно, предупреждение выдается лишь в том случае, когда сертификат просрочен. Проверить это предположение с помощью перевыпуска сертификата, к сожалению, не получилось: коллеги, обслуживающие сайт, решили ограничиться закрытием порта.

old_nick, проверка сертификата осуществятся по трём параметрам:
- имя доменов
- срок действия
- кем подписан
если хоть один неправильный - ругань.
в вашем случае на самоподписанный не ругались, т.к. вы добавляли корневой сертификат в доверенные.