none
Subject Alternative Names - Exchange 2007 RRS feed

  • Pergunta

  • Boa noite Srs,

    Verifiquei o tutorial do Andreson Patrício (AP911 - Criando certificados com Subject Alternative names em uma PKI interna) e já executei alguns passos etc.
    Minha dúvida é com relação ao certificado (public CA) que já tenho funcionando hoje em dia para o OWA.

    Quando utilizar o cmdlet "Enable-ExchangeCertificate -Thumbprint xxxxxxx -Services IIS", terei habilitado um certificado (internal CA) no OWA também, correto?
    Como ficaram os acessos externos com relação a esse novo certificado?

    Minha intenção de utilizar SANs é para evitar a mensagem de problema de certificado no MS Outlook Client que utilizamos, porém não queria criar problemas com o certificado do OWA.

    Agradeço a atenção.

    Cordialmente,
    Felipe Fonseca.
    segunda-feira, 1 de junho de 2009 23:17

Respostas

  • Ola Felipe,

    Tua pergunta nao é de exchange e sim de certificados e IIS, um site do IIS só pode ter um certificado associado, ou seja, o SAN nada mais é que um certificado com mais de um nome, logo se o mesmo é associado ao IIS tu pode usar qualquer um dos nomes se o teu DNS permitir.
    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    segunda-feira, 1 de junho de 2009 23:38

Todas as Respostas

  • Ola Felipe,

    Tua pergunta nao é de exchange e sim de certificados e IIS, um site do IIS só pode ter um certificado associado, ou seja, o SAN nada mais é que um certificado com mais de um nome, logo se o mesmo é associado ao IIS tu pode usar qualquer um dos nomes se o teu DNS permitir.
    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    segunda-feira, 1 de junho de 2009 23:38
  • Anderson,

     

    Bom dia! Eu sou verde ainda com este negócio de certificados e realmente tenho algumas dúvidas.

    O ambiente é uma transição de 2003 para 2010.

    1- Adquirindo o certificado de uma CA externa, não precisarei ter uma interna se eu adicionar aos subjet alternative names referentes aos nomes internos dos servidores CAS e nomes externos, mais o legacy e o autodiscover. Correto?

    OBS: Pelo que estou vendo nesta documentação http://technet.microsoft.com/pt-br/library/aa995942.aspx, eu realmente terei que solicitar uma requisição de certificado, mas somente para dos DNS válidos externamente de meu servidor de correio. Logo, precisarei ter uma CA interna para publicar um novo certificado aos clientes. O certificado registrado na CA Externa não vai conflitar com o da CA interna? Ainda mais que o mesmo será utilizado para publicar o OWA no ISA Server?

    2- É verdade que há alguma limitação na quantidade de alternative subject names no certificado?

    3- Referente a pergunta anterior, isto poderia trazer algum problema na publicação do OWA no ISA 2006?

    OBS: Pelo que vi neste link http://blogs.technet.com/b/exchange/archive/2009/12/17/isa-2006-sp1-configuration-with-exchange-2010.aspx, eu posso ter mais que 3 subject alternative names. Mas, algo que me preocupo, foi que eu preciso pedir um certificado para o ISA 2006 ao invés do Exchange Server 2010. Eu pensei que eu realizava a requisição do certificado apenas no Exchange Server, importava o certificado gerado pela CA Externa e depois exportava o novo certificado para o ISA 2006.

     

    Grato pela atenção.


    Artur de Souza Aragão - Analista TI Pleno


    quarta-feira, 16 de novembro de 2011 12:44
  • Olá, Artur.

    1 - Exatamente, adquirindo o certificado de uma certificadora externa você não precisará de um certificado interno.

    2 - Eu já vi certificado com mais de 20 Alternative Names e funcionou sem problemas no Exchange 2010. Nesse caso a publicação era via TMG, respondendo sua terceira pergunta.

    Referente ao certificado para o ISA 2006, você só precisa do certificado para o Exchange mesmo. Esse certificado você vai exportar para o ISA e criar o Web Listener.

    quinta-feira, 17 de novembro de 2011 02:38
  • Olá, Artur.

    1 - Exatamente, adquirindo o certificado de uma certificadora externa você não precisará de um certificado interno.

    2 - Eu já vi certificado com mais de 20 Alternative Names e funcionou sem problemas no Exchange 2010. Nesse caso a publicação era via TMG, respondendo sua terceira pergunta.

    Referente ao certificado para o ISA 2006, você só precisa do certificado para o Exchange mesmo. Esse certificado você vai exportar para o ISA e criar o Web Listener.

    Wesley,

     

    Obrigado pelas informações.

    1- Quer dizer que mesmo que eu adicione ao certificado os nomes de netbios e fqdn dos servidores internamente, eu ainda terei que ter uma CA interna? Ao adicionar o certificado ao Exchange Server os clientes internos já não entedem isto? Hummm!!!

    2- Entendi. É só exportar o certificado do Exchange Server 2010 para .cer ou .pb7.

     

    Valeu pelas informações.


    Artur de Souza Aragão - Analista TI Pleno
    quinta-feira, 17 de novembro de 2011 04:58
  • Artur, isso mesmo. Nos SANs do certificado você adiciona o nome dos servidores CAS internos, por exemplo, server1.domino.local. Com isso os seus clientes internos vão reconhecer que esse nome está no certificado e não terá problemas com erro de certificado.

    Isso, exporta o certificado e cria o Web Listener usando o arquivo exportado!

    sexta-feira, 18 de novembro de 2011 02:38