none
Certificati exchange 2013 Lync 2013 ( wildcard o SAN ) RRS feed

  • Domanda

  • Buongiorno,

    secondo voi per una corretta implementazione di Exchange 2013 e Lync 2013 quali certificati devo acquistare.

    Considerando tutti i servizi da proteggere di seguito elencati.

    Exchange 2013

    • OWA
    • ActiveSync
    • Outlook Anywhere
    • Autodiscover
    • POP3
    • IMAP4
    • Messaggistica unificata

    Lync 2013

    srvlync.contoso.local
    meet.contoso.com
    dialin.contoso.com
    lync.contoso.com
    lyncdiscover.contoso.com
    lyncdiscoverinternal.contoso.com

    San? ( non capisco il problema della aeree interne)

    Wildcard? ( non capisco se ci sono problemi con * )

    Grazie


    • Modificato Silverino lunedì 26 agosto 2013 10:16
    lunedì 26 agosto 2013 09:53

Risposte

  • si wildcard è supportato, ma serve sostanzialmente invece di inserire svariati domini ne prendi uno e fine. Se quelli sopra sono i tuoi ti conviene usare i SAN.

    Non è che SAN è diversamente sicuro è che non puoi comprare un *.*, quindi wildcard ti conviene se hai molti sottodomini del principale, se hai 10 domini diversi devi usare SAN. Nel tuo caso se sono tutti sottodomini puoi prendere un wildcard per risparmiare denaro, ad ogni modo anche se lo compri ti sconsiglio un *.dominio nelle config, genera sempre i sottocerficati, funziona molto meglio.

    Per lo split non ci sono problemi direi, va bene. Devo però dirti che su Lync ho poca esperienza, ce ne sono pochissimi in italia e non c'è il forum. Ho una struttura in lab ed una nella mia azienda in test e basta.

    Alcuni colleghi qui ne sanno più di me sicuro, se vuoi comunque il top delle sfaccettature vai sul forum USA, li hanno 10 forum solo di Lync.

    Ciao!

    A.

    • Contrassegnato come risposta Anca Popa lunedì 2 settembre 2013 13:31
    lunedì 26 agosto 2013 11:39
    Moderatore
  • Ma il lync è pubblicato tramite lync edge? ad ogni modo per lync servono tre certificati di cui due per la parte pubblica: lync edge e reverse proxy che punta al front-end, l'altro al front-end dove si consiglia di tirare su un CA interna, basta che il certificato sia diverso da quello dell'ege.

    Per exchange te ne basta uno con cn webmail.tuodominio.it ed un san con autodiscover.tuodominio.it


    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP - MCSA - MCSE http://blogs.sysadmin.it/peppacci/Default.aspx

    • Contrassegnato come risposta Anca Popa lunedì 2 settembre 2013 13:31
    martedì 27 agosto 2013 21:06
    Moderatore

Tutte le risposte

  • Ciao, mi pare ci sia tutto, il problema delle aree interne è che i produttori di certificati da gennaio 2013 non ti fanno più emettere san .local quindi a meno che non rinomini tutte le virtual dir o che non chiami il dominio come quello esterno i client troveranno discrepanza nel nome del certificato dando il malefico segnale di "nome non valido" all'avvio di outlook. 

    Col wildcard non ci sono problemi ma per sicurezza non lo metto mai come principale.

    A.

    lunedì 26 agosto 2013 11:15
    Moderatore
  • Ciao, quindi cosa mi conviene usare per tirar su' exchange 2013 e Lynk 2013 tenendo presente che userei lo split DNS per la risoluzione interna dei nomi,

    wildcard la pagherei solo in termini di sicurezza ?

    san più sicuro e piu' costoso?

    wildcard viene supportato da exchange 2013 e Lynk 2013 ?


    • Modificato Silverino lunedì 26 agosto 2013 11:32
    lunedì 26 agosto 2013 11:27
  • si wildcard è supportato, ma serve sostanzialmente invece di inserire svariati domini ne prendi uno e fine. Se quelli sopra sono i tuoi ti conviene usare i SAN.

    Non è che SAN è diversamente sicuro è che non puoi comprare un *.*, quindi wildcard ti conviene se hai molti sottodomini del principale, se hai 10 domini diversi devi usare SAN. Nel tuo caso se sono tutti sottodomini puoi prendere un wildcard per risparmiare denaro, ad ogni modo anche se lo compri ti sconsiglio un *.dominio nelle config, genera sempre i sottocerficati, funziona molto meglio.

    Per lo split non ci sono problemi direi, va bene. Devo però dirti che su Lync ho poca esperienza, ce ne sono pochissimi in italia e non c'è il forum. Ho una struttura in lab ed una nella mia azienda in test e basta.

    Alcuni colleghi qui ne sanno più di me sicuro, se vuoi comunque il top delle sfaccettature vai sul forum USA, li hanno 10 forum solo di Lync.

    Ciao!

    A.

    • Contrassegnato come risposta Anca Popa lunedì 2 settembre 2013 13:31
    lunedì 26 agosto 2013 11:39
    Moderatore
  • Ma il lync è pubblicato tramite lync edge? ad ogni modo per lync servono tre certificati di cui due per la parte pubblica: lync edge e reverse proxy che punta al front-end, l'altro al front-end dove si consiglia di tirare su un CA interna, basta che il certificato sia diverso da quello dell'ege.

    Per exchange te ne basta uno con cn webmail.tuodominio.it ed un san con autodiscover.tuodominio.it


    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP - MCSA - MCSE http://blogs.sysadmin.it/peppacci/Default.aspx

    • Contrassegnato come risposta Anca Popa lunedì 2 settembre 2013 13:31
    martedì 27 agosto 2013 21:06
    Moderatore
  • Ciao Silverino,

    Evidenzio le risposte, in attesa delle tue notizie (potrebbero tornare utili per gli altri membri del forum che riescono cosi' ad individuare la soluzione piu' velocemente).

    Tienici aggiornati sul tuo percorso ;-)


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    lunedì 2 settembre 2013 13:31