Cấu hình POP3/IMAP khi dùng Wildcard SSL trong Exchange

Trong Exchange, ngoài SMTP và OWA, nhiều doanh nghiệp vẫn cần duy trì POP3 và IMAP để tương thích với các ứng dụng và client cũ. Khi triển khai Wildcard SSL certificate (*.example.com), nếu không cấu hình đúng, người dùng sẽ gặp cảnh báo “certificate name mismatch”.

1. Vấn đề

Wildcard SSL (ví dụ *.example.com) chỉ hợp lệ khi client kết nối bằng FQDN đúng (ví dụ: mail.example.com).
Nếu Exchange POP3/IMAP service vẫn công bố hostname nội bộ (EXCH1.local), chứng chỉ không khớp → gây lỗi.

Do đó, cần ép POP3/IMAP dùng X509CertificateName khớp với FQDN công khai.

2. Cấu hình

Mở Exchange Management Shell và chạy:

# Gán tên chứng chỉ hợp lệ cho IMAP

Set-ImapSettings -X509CertificateName mail.example.com



# Gán tên chứng chỉ hợp lệ cho POP3

Set-PopSettings -X509CertificateName mail.example.com



# Restart dịch vụ để áp dụng

Restart-Service MSExchangeIMAP4, MSExchangePOP3

mail.example.com phải nằm trong CN hoặc SAN của chứng chỉ SSL (Wildcard *.example.com cũng hợp lệ).

3. Kiểm thử

Dùng OpenSSL để xác thực cert trên port IMAPS (993) hoặc POP3S (995):

openssl s_client -connect mail.example.com:993 -tls1_2

Khi kiểm tra:

Certificate CN hoặc SAN phải khớp mail.example.com.
Không còn cảnh báo mismatch.

Best Practices

Luôn dùng SAN certificate bao gồm mail.example.com và autodiscover.example.com nếu có thể.
Nếu dùng Wildcard (*.example.com), phải đảm bảo client luôn truy cập bằng subdomain chuẩn (mail.example.com).
Giám sát chứng chỉ bằng script/monitoring để cảnh báo trước khi hết hạn.
Chỉ bật TLS 1.2/1.3, tắt TLS 1.0/1.1 trong Windows để đạt chuẩn bảo mật 2025.

Kết luận

Việc cấu hình đúng X509CertificateName cho POP3 và IMAP khi dùng Wildcard SSL giúp: