Вся суть в именах внутри сертификатов.
- Клиент обращается по имени https://mail.domain.com
- TMG в слушателе (Listener) должен иметь сертификат, который имеет это имя, причем первым (Или обыный покупной сертификат).
- TMG идет на Exchange от себя, по локальному имени сервера (Поле в правиле TO). И на IIS в сертификате ПЕРВЫМ именем должно быть ОНО!!
Так же все остальные варианты можно добавить в SAN, НО CN и первое имя SAN должны быть по сути равны имени компьютера в домене.
Логика:
- Клиент — xxx.test.ru
- TMG отдает клиенту сертификат из SSL Listener xxx.test.ru
- TMG обращается к Exchange по имени xxx.local.net
- IIS Exchange отдает TMG имя xxx.local.net
Примечание: Из консоли Exchange (ecp) мне это сделать не удалось, причину не выяснил. Ниже запрос из командной строки Exchange. 100% рабочий.
Запрос:
New-ExchangeCertificate -GenerateRequest -IncludeAutoDiscover -PrivateKeyExportable $true -SubjectName «CN=External.domain.ru, O=Company name, C=RU» -DomainName internal.full.domain.name, internalshortname, external.domain.ru -FriendlyName «FriendlyName» -RequestFile c:\exchange-cert.req
Далее по накатанной схеме, в центр сертификации подсовываем данный файл и скачиваем сертификат.