none
Exchange 2010 - veřejný certífikát problém s lokální doménou RRS feed

  • Dotaz

  • Ahoj všem,

    v současné době se vystavil certifikát od StartComu Class 2, nicméně active directory má lokální doménu ve formátu domena.local a exchange je na oddělené primární zoně domena.cz

    Certifikát určitě bude řvát, že nemá kvalifikovaný název domény.

    Existuje v tomto případě nějaká možnost jak outlooku domluvit, aby na mě během ověřování serveru nekřičel?

     

    S pozdravem

    Tomáš


    pondělí 12. září 2011 14:51

Odpovědi

  • No nejjednodušší cestou je vystavit placený certifikát obsahující SAN - u StartComu je to za 60$. Nebo si postavit vlastní certifikační autoritu...

    V lokální síti totiž bude outlook vždy využívat jméno s koncovkou local - tudíž bude "řvát" vždycky.

    PS - píšeš Class 2 - ten umožňuje SAN - tedy není co řešit - přidej jména s koncovkou local do SAN---
    úterý 13. září 2011 7:55
    Přispěvatel
  • Ahoj,

    no to bohužel není možné. Online respondér je jen na ověřování platnosti certifikátu - to nemá s jeho důvěryhodností nic společného - stejně musí být kořenový certifikát nainstalovaný na tom určitém PC.

    Ale podle jejich comparsion chartu je možné využívat SAN - http://www.startssl.com/?app=40

    Tak nevím co mají...

    Normálně DIGICERT vydává domény i lokální

    http://www.digicert.com/unified-communications-ssl-tls.htm

    PS: ty lokální adresy nepřidává žádný Exchange wizard - musí se udělat vlastní žádost.

    Viz video na TechNET EDGE (mstv.cz)

    úterý 13. září 2011 8:09
    Přispěvatel
  • Tak to bych viděl dvě řešení - přejít jinam, kde toho budou schopni - nebo předělat doménu na CZ. Což sice není podle BP, ale když si koupíte třeba doménu, kterou nebudete používat pro internet, tak je to taky řešení.
    úterý 13. září 2011 8:27
    Přispěvatel

Všechny reakce

  • No nejjednodušší cestou je vystavit placený certifikát obsahující SAN - u StartComu je to za 60$. Nebo si postavit vlastní certifikační autoritu...

    V lokální síti totiž bude outlook vždy využívat jméno s koncovkou local - tudíž bude "řvát" vždycky.

    PS - píšeš Class 2 - ten umožňuje SAN - tedy není co řešit - přidej jména s koncovkou local do SAN---
    úterý 13. září 2011 7:55
    Přispěvatel
  • Ahoj, Jirko, mluvili jsme s nimi, máme zaplaceno $60 a SAN nám dát nechtějí. Jejich tvrzení je takové, že jsou veřejnou CA a registrují pouze ověřené DNS

     

    Svojí Active Directory CA mám, ale vidím jako velký problém, distribuci certifikátu CA mimo doménu. Tzn. Když se mi klient připojí někde v kavárně na OWU, bude to na něj řvát. Když si klient přidá svůj exchange účet doma na PC a nebude mít nainstalovaný certifikát CA, bude mu to nadávat a to je pro něj neakceptovatelné.

     

    Nejde to vyřešit přes Online responder, tak, aby distribuce certifikátu CA mimo doménu nebyla nutná? Jirko Asi blbost, že, když nejsem d§věryhodná certifikační autorita ?


    úterý 13. září 2011 8:04
  • Ahoj,

    no to bohužel není možné. Online respondér je jen na ověřování platnosti certifikátu - to nemá s jeho důvěryhodností nic společného - stejně musí být kořenový certifikát nainstalovaný na tom určitém PC.

    Ale podle jejich comparsion chartu je možné využívat SAN - http://www.startssl.com/?app=40

    Tak nevím co mají...

    Normálně DIGICERT vydává domény i lokální

    http://www.digicert.com/unified-communications-ssl-tls.htm

    PS: ty lokální adresy nepřidává žádný Exchange wizard - musí se udělat vlastní žádost.

    Viz video na TechNET EDGE (mstv.cz)

    úterý 13. září 2011 8:09
    Přispěvatel
  • Díky, AD certifikát mám udělaný a funguje, ovšem tam kde Exchange běží je možnost lokální CA těžko akceptovatelná, tak jsme chtěli naimportovat class 2, ovšem v komunikaci s sales StartSSL jsme narazili na problém se SAN a domena.local nám do Class 2 nejde
    úterý 13. září 2011 8:18
  • A teď čtu Ty jejich obchodní podmínky a oni sice SAN podporují, tzn. jsme schopni tam naflákat vícero domén, ovšem vždy jen autorizované domény, nikoli lokální.

    Máš nějaký nápad na řešení?

    úterý 13. září 2011 8:25
  • Tak to bych viděl dvě řešení - přejít jinam, kde toho budou schopni - nebo předělat doménu na CZ. Což sice není podle BP, ale když si koupíte třeba doménu, kterou nebudete používat pro internet, tak je to taky řešení.
    úterý 13. září 2011 8:27
    Přispěvatel
  • Tak v tom případě mám jasno, bude se distribuovat root CA na klienské stanice za pomocí politik v síti. Takže pokud si vezme klient notebook domů, vůbec nic nepozná a nemusí se nic instalovat. V případě velkého množství klientských stanic to vidím, jako jediné možné řešení. Existuje taková politika?
    úterý 13. září 2011 8:32
  • Ano, certifikáty jde distribuovat na klienty v Active Directory přes GP.

    https://support.smoothwall.net/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=180

    úterý 13. září 2011 12:26
    Přispěvatel