none
exchange 2010 e certificati multidominio RRS feed

  • Domanda

  • in passato acquistavo un certificato multidominio per gestire owa, active sync e i client outlook interni. oggi con stupore ho notato che le certification autority pubbliche (godad*y e altre ) non mi permettono di includere nel certificato multidominio il dominio active directory interno. Come posso ovviare? Se nel certificato non inserisco il domino interno mi apparirà sui client il messaggio di certificato non attendibile?? avete una soluzione a riguardo

    grazie

    saluti

    giovedì 9 maggio 2013 09:10

Risposte

Tutte le risposte

  • Ciao,

    Il problema non è che non ti lasciano aggiungere la tua AD interna ma è che il suffisso di dominio usato non è pubblico o vuoi mettere il nome NetBIOS della macchina.
    Se la AD fosse "contoso.com" non avrebbero problemi a farti aggiungere server1.contoso.com

    Vedi http://www.digicert.com/internal-names.htm

    Possibili workaround:

    1)  http://technet.microsoft.com/en-us/library/bb676377(v=exchg.141).aspx se ho capito bene il tuo è lo scenario 2. Cambia il suffisso DNS del server con qualcosa di sensato che sia pubblico.

    2) CA Interna ?

    Nota: Microsoft consiglia di NON utilizzare domini farlocchi per AD connesse ad Internet (.internal, .int etc...) dall'alba di Windows 2000 (vedi http://support.microsoft.com/kb/254680/en-us). Non sarebbe ora di seguire le best practices ?

    Ciao
    Gabriele


    -- Gabriele Tansini [MSFT] This posting is provided "AS IS" with no warranties, and confers no rights"

    • Contrassegnato come risposta Anca Popa martedì 28 maggio 2013 14:22
    giovedì 9 maggio 2013 11:09
  • Sembra il classico giochetto italiano che ti costringe a cambiare qualcosa giusto per farti spendere soldi o comunque farli guadagnare a qualcuno (vedi cambio delle targhe, scadenze dei certificati, etc. etc.). Mi sa che abbiamo fatto scuola :)

    giovedì 9 maggio 2013 12:43
  • perdona la mia ignoranza, la sitazione e' questa il dominio active directory e' "mio_dominio.local" e il dominio pubblico è "mio_dominio.it". fino al 2012 utilizzavo un certificato multidominio per gestire i servizi web e active sync affinche' i mobile e l'accesso ad owa venisse fatto senza l'alert del certificato non corretto o la necessita di caricare il certificato su ogni dispositivo. da quello che mi dici il dominio AD doveva essere "mio.dominio.it" (vallo dire ora a quello che 10 anni fa ha fatto la struttura ad!!?!) . ora se io creo una richiesta del certificato dando solo i nomi pubblici quindi es. mail."mio_domino.it", autodiscover."mio_domino.it" e non quelli interni (exchange."mio_domino.local", autodiscover."mio_domino.it") l'accesso esterno non avra' problemi di alert di certificato non corretto ma mi troverò su tutti i client outlook 2007 e successivi un'alert che il certificato non e' attendibile perchè exchange."mio_domino.local" non e' presente nel certificato emesso. Se uso una certification autority interna avro' il problema contrario per l'accesso ad owa da pc che non riconoscono la certification authority interna come attendibile , idem i mobile.
    giovedì 9 maggio 2013 13:14
  • ciao, concordo con Matte e Nino,

    Gabriele tu hai ragione, ma se usi domini esterni poi devi splittare il DNS e domandone da 100.000$ (se mi rispondi te li do ;-) se ho un SBS in cui NON mi fa creare i domini esterni in nessun modo in fase di installazione cosa ci metto come nome di dominio interno?? 

    Da quello che ho visto Godaddy te lo fa fare ma solo se compri i certificati di livello superiore e non più quelli di fascia small. 

    Io risolvo (strutture piccole capiamoci) con una CA interna e poi esporto catena di certificati e certificato per gli anywhere...e quando devo usare owa da fuori chiudo gli occhi e clicco sullo scudetto rosso e chissenefrega..altrimenti dovresti pubblicare la tua PKI...ma anche li non è comodissimo...

    MS ti aiuta ;))

    A.

    giovedì 9 maggio 2013 13:56
    Moderatore
  • 100 % concordo con Alessandro, il problema e' che da fine 2012 godaddy come tutte le altre CA pubbliche non firmato richieste con nomi host non pubblici (es. "mioserver". "miodominio".local)

    Gabriele ho visto il sito che hai postato  (http://www.digicert.com/internal-names.htm), quel tool o la soluzione manuale l'hai mai provata? Mi interesserebbe sapere se dopo l'applicazione i client interni devono essere riconfigurati o altro (non sono pochi client quindi se devo fare modifiche devo avvisarli)

    grazie saluti

    giovedì 9 maggio 2013 14:22
  • Una CA Interna di tipo Enterprise distribuirà il certificato della CA nelle Trusted Root dei client joinati al dominio.

    Ciao
    Gabriele


    -- Gabriele Tansini [MSFT] This posting is provided "AS IS" with no warranties, and confers no rights"

    giovedì 9 maggio 2013 22:42
  • Non ho mai provato il tool.
    La procedura manuale però sembra sensata.

    I client si riconfigureranno tramite autodiscover

    Ciao
    Gabriele


    -- Gabriele Tansini [MSFT] This posting is provided "AS IS" with no warranties, and confers no rights"

    giovedì 9 maggio 2013 22:45
  • Ciao matte,

    Abbiamo ancora il tuo quesito aperto nel Forum di Exchange Server.

    Per chiuderlo, puoi segnare come risposta gli interventi che hanno risposto alla tua domanda iniziale, così anche gli altri utenti del forum possono sapere che si tratta di un thread risolto e riescono ad individuare la soluzione senza leggere tutta la discussione.

    Grazie!


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    martedì 14 maggio 2013 13:53