none
Consiglio su acquisto certificati per Exchange RRS feed

  • Domanda

  • Ciao a tutti,

    sono ancora a disturbarvi con le mie domande. Dovrei acquistare un certificato per accedere ad exchange attraverso Outlook Anywhere. Il mio server viene visto in rete come mail.doctorbit.com cosa devo fare per acquistare il certificato? Quale rivenditore mi consigliate che non dissangui le mie esigue finanze? :) Lo stesso certificato posso utilizzarlo anche per firmare email e/o documenti o sono due cose diverse?

    Chiedo venia per le mie domande da dummy ma per me la parte sistemistica è veramente una jungla... :)


    Alberto De Luca [MVP - Visual Basic .NET]
    lunedì 18 aprile 2011 10:52

Risposte

  • Ciao, godaddy.com funziona benissimo. Testato e controtestato.

    Puoi usare un nome singolo e giocare con i DNS e i parametri "internalUrl" e "externalUrl" oppure comprare un nome multiplo o un wildcard ed usarlo come più ti aggrada.

    parti da un minimo di 35 euro all'anno, quindi pochissimo...

    consiglio alcune letture:

    http://www.msexchange.org/articles_tutorials/exchange-server-2007/management-administration/configuring-exchange-server-2007-web-services-urls.html
    http://www.netometer.com/video/tutorials/install-single-name-godaddy-ssl-certificate-exchange-2007-windows-2008/

    Seconda Domanda: non puoi usare quel certificato per la crittografia o la firma elettronica, che io sappia.

     

     

    Spero di essere stato esaustivo.

     

    Ciao!

     

     

     

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    • Proposto come risposta Anca Popa lunedì 18 aprile 2011 14:22
    • Contrassegnato come risposta Alberto De Luca mercoledì 20 aprile 2011 15:45
    lunedì 18 aprile 2011 12:07
  • Ma sono obbligato a utilizzare una CA esterna o posso anche utilizzare
    la CA di Windows Server 2008? Perchè il mio problema è relativo al
    fatto che con il certificato di default di Exchange ci faccio ben poco

    Il discorso, se lo svisceriamo a modo, è abbastanza semplice, si tratta
    prima di tutto di capire quale livello di sicurezza tu voglia ottenere
    o, in
    ogni caso, di quale livello di sicurezza tu necessiti

    Vedi, una soluzione leggermente più complessa ma gratuita consiste
    nel mettere in piedi una tua CA privata, generare i certificati ed
    installare
    gli stessi sui clients in modo che gli stessi accettino i tuoi
    certificati come
    "trusted" e li utilizzino; d'altro canto, una CA privata espone al
    rischio che
    qualcuno possa "falsificare" un dato certificato ed usarlo per
    connettersi
    ad un qualsiasi servizio esposto

    C'è da dire che il rischio, nel caso di piccole realtà (e credo che la
    tua
    possa rientrarci) è piuttosto ridotto, quindi credo che una soluzione al
    tuo problema, ammesso che ti servano semplicemente dei certificati
    da usare per permettere ai TUOI clients di accedere al mailserver,
    possa essere proprio quella di creare una tua CA, impostare il "trust"
    per la stessa sui clients e poi autogenerarti i certificati; in
    alternativa,
    se non vuoi/puoi mettere in piedi una tua CA (ma non mi sembra sia
    questo il caso) potresti avvalerti di questo servizio gratuito

    http://www.mobilefish.com/services/ssl_certificates/ssl_certificates.php

    se invece volessi acquistare un certificato da una authority ufficiale,
    ne esistono diverse con prezzi "umani", l'unica cosa che mi sento di
    consigliarti è di evitare come la peste i certificati emessi da
    "comodo"
    dato che purtroppo, STORICAMENTE (non da ieri), tale entità non si
    è dimostratata molto... come dire... limpida

    perchè è associato ad un dominio che è il nome del server su cui è
    installato exchange. Quando lo uso su WP7 mi dice che non riconosce
    quel certificato per il server mail.doctorbit.com perchè rilasciato
    per "serverpippo" (ovvio che Disney c'entra ben poco con il nome

    Eh no, frena, se vuoi metterti in piedi una CA, almeno fallo come si
    deve, con dei servers con un FQDN valido e risolvibile e con tutte
    le informazioni impostate come si deve; alla fine della fiera la cosa
    non è difficile (e lo hai visto anche mettendo in piedi il mailserver)
    si tratta solo di leggersi un minimo di documentazione e fare le cose
    in modo corretto :)

    ciao

    • Contrassegnato come risposta Alberto De Luca mercoledì 20 aprile 2011 07:38
    lunedì 18 aprile 2011 15:37
  • Quanto indicato nel link vale se hai utenze con diritti amministrativi. Per i semplici users non serve.

    Ciao.

     


    Peppacci - MVP - Microsoft Exchange Server Microsoft MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx
    • Contrassegnato come risposta Alberto De Luca mercoledì 20 aprile 2011 15:45
    mercoledì 20 aprile 2011 07:50
    Moderatore

Tutte le risposte

  • Ciao, godaddy.com funziona benissimo. Testato e controtestato.

    Puoi usare un nome singolo e giocare con i DNS e i parametri "internalUrl" e "externalUrl" oppure comprare un nome multiplo o un wildcard ed usarlo come più ti aggrada.

    parti da un minimo di 35 euro all'anno, quindi pochissimo...

    consiglio alcune letture:

    http://www.msexchange.org/articles_tutorials/exchange-server-2007/management-administration/configuring-exchange-server-2007-web-services-urls.html
    http://www.netometer.com/video/tutorials/install-single-name-godaddy-ssl-certificate-exchange-2007-windows-2008/

    Seconda Domanda: non puoi usare quel certificato per la crittografia o la firma elettronica, che io sappia.

     

     

    Spero di essere stato esaustivo.

     

    Ciao!

     

     

     

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    • Proposto come risposta Anca Popa lunedì 18 aprile 2011 14:22
    • Contrassegnato come risposta Alberto De Luca mercoledì 20 aprile 2011 15:45
    lunedì 18 aprile 2011 12:07
  • Ma sono obbligato a utilizzare una CA esterna o posso anche utilizzare la CA di Windows Server 2008? Perchè il mio problema è relativo al fatto che con il certificato di default di Exchange ci faccio ben poco perchè è associato ad un dominio che è il nome del server su cui è installato exchange. Quando lo uso su WP7 mi dice che non riconosce quel certificato per il server mail.doctorbit.com perchè rilasciato per "serverpippo" (ovvio che Disney c'entra ben poco con il nome del mio server di Exchange :D). A quanto credo di aver capito a questo punto dovrei crearmi un nuovo certificato su exchange, associarlo a tutti i servizi che voglio utilizzare attraverso l'autenticazione sottoscritta a quel certificato, creare un file .req da inviare alla CA la quale mi rilascia un .cer che diventa la mia CA root, inviare quella CA root al mio WP7 e così essere riconosciuto. Il mio problema è dato dalla mia ignoranza in materia, non vorrei sbagliare qualcosa e buttare via 35 eurini solo per un errore... :) quindi grazie per l'aiuto.
    Alberto De Luca [MVP - Visual Basic .NET]
    lunedì 18 aprile 2011 14:35
  • Ma sono obbligato a utilizzare una CA esterna o posso anche utilizzare
    la CA di Windows Server 2008? Perchè il mio problema è relativo al
    fatto che con il certificato di default di Exchange ci faccio ben poco

    Il discorso, se lo svisceriamo a modo, è abbastanza semplice, si tratta
    prima di tutto di capire quale livello di sicurezza tu voglia ottenere
    o, in
    ogni caso, di quale livello di sicurezza tu necessiti

    Vedi, una soluzione leggermente più complessa ma gratuita consiste
    nel mettere in piedi una tua CA privata, generare i certificati ed
    installare
    gli stessi sui clients in modo che gli stessi accettino i tuoi
    certificati come
    "trusted" e li utilizzino; d'altro canto, una CA privata espone al
    rischio che
    qualcuno possa "falsificare" un dato certificato ed usarlo per
    connettersi
    ad un qualsiasi servizio esposto

    C'è da dire che il rischio, nel caso di piccole realtà (e credo che la
    tua
    possa rientrarci) è piuttosto ridotto, quindi credo che una soluzione al
    tuo problema, ammesso che ti servano semplicemente dei certificati
    da usare per permettere ai TUOI clients di accedere al mailserver,
    possa essere proprio quella di creare una tua CA, impostare il "trust"
    per la stessa sui clients e poi autogenerarti i certificati; in
    alternativa,
    se non vuoi/puoi mettere in piedi una tua CA (ma non mi sembra sia
    questo il caso) potresti avvalerti di questo servizio gratuito

    http://www.mobilefish.com/services/ssl_certificates/ssl_certificates.php

    se invece volessi acquistare un certificato da una authority ufficiale,
    ne esistono diverse con prezzi "umani", l'unica cosa che mi sento di
    consigliarti è di evitare come la peste i certificati emessi da
    "comodo"
    dato che purtroppo, STORICAMENTE (non da ieri), tale entità non si
    è dimostratata molto... come dire... limpida

    perchè è associato ad un dominio che è il nome del server su cui è
    installato exchange. Quando lo uso su WP7 mi dice che non riconosce
    quel certificato per il server mail.doctorbit.com perchè rilasciato
    per "serverpippo" (ovvio che Disney c'entra ben poco con il nome

    Eh no, frena, se vuoi metterti in piedi una CA, almeno fallo come si
    deve, con dei servers con un FQDN valido e risolvibile e con tutte
    le informazioni impostate come si deve; alla fine della fiera la cosa
    non è difficile (e lo hai visto anche mettendo in piedi il mailserver)
    si tratta solo di leggersi un minimo di documentazione e fare le cose
    in modo corretto :)

    ciao

    • Contrassegnato come risposta Alberto De Luca mercoledì 20 aprile 2011 07:38
    lunedì 18 aprile 2011 15:37
  • Ho comprato un certificato da godaddy.com... ho creato la richiesta con Exchange ma ancora mi da lo stesso problema... ovvero che non riconosce il server mail.doctorbit.com... non riesco a venirne fuori... :(
    Alberto De Luca [MVP - Visual Basic .NET]
    lunedì 18 aprile 2011 16:57
  • Ma se sicuro di avere caricato il certificato giusto ed assegnato al servizio IIS??

    http://i54.tinypic.com/287qh60.jpg


    Peppacci - MVP - Microsoft Exchange Server Microsoft MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx
    • Contrassegnato come risposta Alberto De Luca mercoledì 20 aprile 2011 15:45
    • Contrassegno come risposta annullato Alberto De Luca mercoledì 20 aprile 2011 15:45
    martedì 19 aprile 2011 06:51
    Moderatore
  • Avevo acquistato il prodotto sbagliato. Ovvero avevo acquistato il Single Domain. Questo certificato non ti permette di autenticare i domini di III livello (tipo il mio mail.doctorbit.com) ma solo il II livello del dominio (doctorbit.com), ho optato acquistando una wildcard. Adesso sto finendo di configurare il tutto. Appena riesco vi faccio sapere.

    Grazie per adesso,


    Alberto De Luca [MVP - Visual Basic .NET]
    martedì 19 aprile 2011 07:35
  • Ho finalmente risolto la questione. Ho installato il certificato nuovo e oltre a questo c'era un ultimo passo da fare su Active Directory poichè il mio Windows Phone mi dava un ulteriore messaggio di errore. In questo post ho trovato la soluzione: http://answers.microsoft.com/en-us/winphone/forum/wp7-sync/activesync-error-86000c0a-on-wp7/8ece8c3f-a184-45ce-998d-a8fd4b2d42b4

    Grazie a tutti, spero di aver aggiunto un mattoncino al forum.

    Ciao,

     

     


    Alberto De Luca [MVP - Visual Basic .NET]
    martedì 19 aprile 2011 16:59
  • Quanto indicato nel link vale se hai utenze con diritti amministrativi. Per i semplici users non serve.

    Ciao.

     


    Peppacci - MVP - Microsoft Exchange Server Microsoft MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx
    • Contrassegnato come risposta Alberto De Luca mercoledì 20 aprile 2011 15:45
    mercoledì 20 aprile 2011 07:50
    Moderatore
  • Allora... dopo varie vicissitudini e esplorazioni dei più disparati forum sono giunto alla conclusione della faccenda. Descrivo cosa ho fatto (non prendetelo per oro colato perchè NON SONO UN SISTEMISTA E NON SO SE E QUANTO TUTTO QUESTO SIA CORRETTO)

    Il certificato da acquistare è quello di tipo Multiple Domain, Exchange 2010 permette di creare il file di richiesta del certificato che deve essere aperto con un editor di testo ed inserito nell'apposita maschera che godaddy propone quando l'acquisto è stato validato (dovete copiare tutto il testo comprese le righe di start e di end). Il single domain e/o il certificato di tipo wildcard non permettono di validare il server di exchange correttamente perchè all'interno della vs. rete il server di exchange viene visto come nomeserver.dominio.local e non come mail.nomedominio.xxx per cui i dispositivi che accedono dall'esterno attraverso il servizio web non hanno problemi perchè il certificato viene associato al dominio corretto, i client di posta interni (tipo outlook) danno un messaggio di errore relativo al nome del server, si veda a tal proposito anche questo thread: http://social.technet.microsoft.com/Forums/it-IT/exchangeit/thread/4b7fdf29-5d76-403c-8a0f-9ec1a3615edf. Non so se al riguardo ci sia un workaround ma io non l'ho trovato.

    Dopo pochi minuti godaddy invierà una mail nella quale richiede l'autorizzazione ad emettere un certificato per i vs. domini all'interno ci sarà un link che permette di autorizzare la richiesta. Una volta terminato tutto il processo nella pagina di configurazione dei certificati di godaddy si dovrà scaricare il certificato rilasciato e completare la registrazione del nuovo certificato su Exchange. A questo punto il certificato è registrato, per utilizzarlo su Windows Phone 7 si dovrà esportarlo come *.cer ed inviarlo tramite un account di posta (tipo hotmail o altro) al dispositivo, installarlo e terminare la configurazione di Outlook su WP7.

    Spero di essere stato sufficientemente chiaro e che possa essere utile a qualcuno.

    Grazie a tutti per l'aiuto ed i consigli.


    Alberto De Luca [MVP - Visual Basic .NET]
    mercoledì 20 aprile 2011 16:02
  • di end). Il single domain e/o il certificato di tipo wildcard non
    permettono di validare il server di exchange correttamente
    perchè all'interno della vs. rete il server di exchange viene visto
    come nomeserver.dominio.local e non come mail.nomedominio.xxx per cui

    Beh... dipende da come è configurato il tutto, se hai una config di tipo
    split-horizon DNS nella quale il dominio esterno e quello interno sono
    identici, il problema non si pone :) ad ogni modo, grazie per aver
    speso un pochino del tuo tempo per chiarire la cosa e... spero che
    il server stia funzionando correttamente :)

    mercoledì 20 aprile 2011 16:09
  • Si grazie Obiwan adesso funziona tutto correttamente.

    Scusate il tempo per una piccola riflessione: tutte le volte che uso un forum rimango stupito di come sia incredibilmente semplice risolvere problemi all'apparenza giganteschi. Io ho iniziato ad installare Exchange circa una 7mana fa senza avere la benchè minima idea di quello che stessi facendo, ed oggi tutto funziona alla grande, senza che nessuno abbia messo le mani sul mio server ma solo seguendo alla lettera ciò che ho trovato sui forum autorevoli. Questo è stato possibile sopratutto perchè le persone che frequentano i forum parlano con parole semplici, comprensibili e considerano ogni problema (che caso mai per loro è una baggianata incredibile) molto importante, immedesimandosi nella persona che dall'altro lato del PC stà cercando di combattere contro qualcosa di più grande di lui.

    Non credo esista questo tipo di mutualità in nessun'altra attività professionale che io conosca.

    Grazie ancora.


    Alberto De Luca [MVP - Visual Basic .NET]
    giovedì 21 aprile 2011 09:42
  • Non credo esista questo tipo di mutualità in nessun'altra attività
    professionale che io conosca.

    Oh... esiste, esiste eccome, c'è gente che va a fare il medico in
    zona di guerra senza pretendere un centesimo, lavorando 24 ore
    su 24 con quello che c'è al punto da perdere quasi la ragione...
    e c'è gente che, come in questo caso, fa quel pochissimo che
    può per dare una mano ad altri in un campo ristretto... anche se
    non si sa mai; anni fa ricordo che su "usenet" aiutai un tizio per
    la configurazione di una rete... per poi scoprire che si trattava di
    un missionario :) .. alla fine della fiera, potrà anche essere solo
    una di pioggia nel deserto ... ma mi piace pensare che

    tante gocce a volte..

    ciao e... buona Pasqua

    giovedì 21 aprile 2011 19:25