none
SBS 2008 + Exchange 2007 problem v SSL - lokalni nazev serveru

    Dotaz

  • Přeji dobrý den,

    V oraganizaci se chystám přejít z emailového serveru od poskytovatele hostingu na Exchange 2007 jež je součástí SBS 2008 na serveru. Outlook web access chci zabezpečit pomoci SSL certifikátu RAPIDSSL. Zde jsem narazil na jeden problém.

    jmeno lokalni domeny je:  fima.local

    jmeno serveru je: server.firma.local

    Problem je v tom že SSL certifikat mohu generovat jen na domenovy nazev firma.cz při připojení dojde logicky na výstarhu zabezpečeni odlišných názvů serveru a certifikátů.

    Otázka zní. Jak vyřešit tento problém? Napadlo mne přejmenovat domenu na firma.cz, prot se obracím sem zda někdo neví o nějaké méně invazivní metodě. Např alias pro jméno serveru nebo něco podobného.

    Předem díky moc za pomoc


    • Upravený Danek_OV 21. listopadu 2011 12:00
    21. listopadu 2011 11:59

Odpovědi

  • Ahoj,

    u SBSka není možné přejmenovat doménu z koncovky local. Mnohem čistějším řešením je použití certifikátu obsahujího SAN (subject alternate names) - do toho zadáš jak server.domena.local tak jen server tak i externí adresu, případně třeba i vnitřní IP adresu.

    Tady je to krásně vysvětleno...

    http://www.digicert.com/subject-alternative-name.htm

    • Označen jako odpověď Danek_OV 23. listopadu 2011 13:03
    21. listopadu 2011 12:09
  • Dalsi metoda na certifikat s vice jmeny je vice jmen primo v subjectu certifikatu. Subject pak vypada treba takto: Subject = "cn=sbs.test.local, cn=sbs, cn=companyweb, cn=companyweb.test.local, cn=intranet, cn=test.cz".

    Pokud si chcete takovy certifikat vydat na vlastni certifikacni agenture, je treba vydaavni takovych certifikatu povolit

    CERTUTIL -setreg ca\CRLFlags +CRLF_ALLOW_REQUEST_ATTRIBUTE_SUBJECT

    Pokud si chcete vydavat certifikaty se SAN alternativnimi jmeny vlastni certifikacni agenturou na SBS, prectete http://support.microsoft.com/kb/931351/en-us Je treba vydavani takovych certifikatu povolit.

    certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

    Protoze mate Exchange, muzete (krome metod zminenych v clanku 931351) pouzit pro zadost s vice jmeny i powershell Exchage New-ExchangeCertificate

    • Označen jako odpověď Danek_OV 23. listopadu 2011 13:02
    21. listopadu 2011 14:34

Všechny reakce

  • Ahoj,

    u SBSka není možné přejmenovat doménu z koncovky local. Mnohem čistějším řešením je použití certifikátu obsahujího SAN (subject alternate names) - do toho zadáš jak server.domena.local tak jen server tak i externí adresu, případně třeba i vnitřní IP adresu.

    Tady je to krásně vysvětleno...

    http://www.digicert.com/subject-alternative-name.htm

    • Označen jako odpověď Danek_OV 23. listopadu 2011 13:03
    21. listopadu 2011 12:09
  • Dalsi metoda na certifikat s vice jmeny je vice jmen primo v subjectu certifikatu. Subject pak vypada treba takto: Subject = "cn=sbs.test.local, cn=sbs, cn=companyweb, cn=companyweb.test.local, cn=intranet, cn=test.cz".

    Pokud si chcete takovy certifikat vydat na vlastni certifikacni agenture, je treba vydaavni takovych certifikatu povolit

    CERTUTIL -setreg ca\CRLFlags +CRLF_ALLOW_REQUEST_ATTRIBUTE_SUBJECT

    Pokud si chcete vydavat certifikaty se SAN alternativnimi jmeny vlastni certifikacni agenturou na SBS, prectete http://support.microsoft.com/kb/931351/en-us Je treba vydavani takovych certifikatu povolit.

    certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

    Protoze mate Exchange, muzete (krome metod zminenych v clanku 931351) pouzit pro zadost s vice jmeny i powershell Exchage New-ExchangeCertificate

    • Označen jako odpověď Danek_OV 23. listopadu 2011 13:02
    21. listopadu 2011 14:34
  • Diky za odpovědi jen jsem potřebnoval nasměrovat :o) což se povedlo. Vygeneroval jsem si na test certifikat ve vlastní certifikační aoutoritě + na stanice jsem přidal vlastní certifikační autoritu jako duveryhodnou. A vše funguje perfektně. Pro odzkoušení dostačující. Až bude více externích klientu tak už to bude chtít certifikat ověřený certifikační autoritou. Ten budu generovat zde http://www.godaddy.com 89$ za 4 alternativní názvy je 1/3 cena o proti ostatním a od autorita roku 2005 je snad dostačující.

     

    Díky moc za pomoc

    23. listopadu 2011 13:07