none
Certificati di Exchange 2010 per accesso dall'esterno con Anywhere generato da me RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno,

    al momento sul mio server exchange sono installati i seguenti certificati

    elenco certificati

    a titolo esemplificativo lo standard utilizzato in ordine come visualizzato da print screen precedente:

    CN=host.dominio.ext
    CN=dominio-host-CA, DC=dominio, DC=ext
    CN=host 

    -----

    di seguito i miei dubbi:
    1. quale è la configurazione standard che dovrei avere?
    2. posso avere più certificati per gli stessi servizi?
    3. avendo abilitato Outlook Anywhere al fine di evitare il mismatch tra nome interno e FQDN pubblico del certificato posso generare un certificato dedicato ad Anywhere che sia valido sia all'interno che all'esterno della rete o devo cambiare il certificato già esistente?
    5. se devo cambiarlo, quale va cambiato dei tre presenti?

            per generarlo vorrei seguire la guida di Peppacci Guida generazione ed installazione certificato

    6. ci sono delle controindicazioni nel cambiare o aggiungere più certificati?

    Vi ringrazio in anticipo


    • Modificato PixXXX venerdì 27 aprile 2012 09:29 errore di digit
    venerdì 27 aprile 2012 09:25
    |

Risposte

Tutte le risposte

  • Question
    Registrati per votare
    1
    Registrati per votare

    Ciao, dovresti studiarti bene la guida MS alla configurazione di anywhere perchè qui il discorso è lungo. Comunque di do qualche dritta.

    1) dipende da quello che vuoi fare

    2) no, il certificato è uno, non puoi avere più certificati o meglio puoi averli "pronti" ma ne usa sempre comunque uno

    3) Io di solito faccio in questo modo. Dove hai server pubblicato con stesso nome e dominio corretto non hai problemi emetti 1 solo certificato con l'FQDN e fine li. Dove il server è interno ed il dominio si chiama diverso elimino tutti i certificati. Chiamo il sito interno ed esterno di owa nello stesso modo ed emetto un certificato con selfssl.exe col nome del sito. A quel punto abilito tutti i servizi su quel certificato. Una volta esportato lo installo su client nelle fonti attendibili ed in questo modo l'anywhere non si arrabbia e funziona. giro poi la ssl 443 verso il server exchange in questo modo vanno anche tutti i dispositivi mobili. Nel caso in cui poi i miei notebook\dispositivi entrino in azienda col fatto che si chiama diverso il dominio (e quindi non troverebbe il nome del server) creo una zona di ricerca diretta DNS col dominio esistente, questo comporta che internamente tu debba mettere gli indirizzi del sito web e degli altri servizi pubblicati a mano perchè altrimenti non risolve gli esterni. In questo modo ho comunque 1 solo certificato, firmato da me e tutto funziona alla grande.

    4) non c'è il 4? :-)

    5) Cambi sempre quello coi servizi associati che usano i client. Se lo fai che dura 15 anni non lo cambi più. :-)

    6) certo, sempre, devono metchare i nomi oltre che di owa anche delle virtual directory, quindi se ti crei i il tuo devi andare a cambiare anche i nomi delle virtual dir. Ti allego i comandi. sulla UM da errore se non l'hai installato come ruolo.

    Set-ClientAccessServer -Identity nomeserver -AutodiscoverServiceInternalUri https://nomecertificato/autodiscover/autodiscover.xml

    Set-WebServicesVirtualDirectory -Identity "nomeserver\EWS (Default Web Site)" -InternalUrl https://nomecertificato/ews/exchange.asmx

    Set-OABVirtualDirectory -Identity "nomeserver\oab (Default Web Site)" -InternalUrl https://nomecertificato/oab

    Set-UMVirtualDirectory -Identity "nomeserver\unifiedmessaging (Default Web Site)" -InternalUrl https://nomecertificato/unifiedmessaging/service.asmx 

    Spero di averti dato qualche dritta.

    Ciao! :-)

    A.

    venerdì 27 aprile 2012 09:52
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    grazie per le dritte

    io vorrei solo aggiornare il certificato di Anywhere, si può?

    grazie ancora

    venerdì 27 aprile 2012 10:02
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    il certificato di anywhere è quello che ti fa andare tutto. Certo che si può è proprio quello che ti ho detto sopra. ma se abiliti quello con l'FQDN non puoi esimerti da tutto il resto della config perchè anywhere serve principalmente per connettersi da fuori e tutto deve corrispondere.

    Per questo ti dicevo..leggi prima come configurare anywhere perchè se non hai le idee chiare uscirne vivi è dura.

    Qui trovi una guida step by step

    http://exchangeserverpro.com/how-to-configure-exchange-server-2010-outlook-anywhere

    venerdì 27 aprile 2012 10:13
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    ho letto un po di guide

    che succede se il nuovo certificato non va bene?

    posso riattivare il vecchio?

    posso comunque assegnare il nuovo solo ad IIS in modo che venga utilizzato per Outlook Anywhere e quindi non toccare le configurazioni esistenti?

    grazie ancora

    venerdì 27 aprile 2012 12:30
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    certo se non lo cancelli puoi riattivare il vecchio. Devi comunque assegnarlo via Exchange, è molto più immediato e se lo assegni comunque solo ad un virtual site avrai poi errori di coincidenza di nomi soprattutto sugli outlook 2007 che sono sensibilissimi ai certificati.

    A.

    venerdì 27 aprile 2012 12:57
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    ok, ho generato il nuovo certificato seguendo la guida guida configurazione certificato

    avendo io generato il certificato ho registrato il certificato dell'authority seguendo la guida come registrare l'authority interna

    e tutto ok

    Alessandro ti ringrazio per il supporto

    • Contrassegnato come risposta PixXXX venerdì 27 aprile 2012 14:21
    venerdì 27 aprile 2012 14:21
    |