none
Доверенные сертификаты для Exchange 2016 RRS feed

  • Вопрос

  • Добрый день,

    Cкоро получу сертификат от GeoTrust на Exchange.

    Сертификат выпускается на следующие домены mail.example.ru и autodiscover.example.ru, я добавлю в Exchange здесь вопросов нету.

    Беспокойство в следующем. Люди в локальной сети привыкли работать через owa по адресу https://mail/owa.

    Не будет ли конфликта с cert GeoTrust, если я добавлю еще один само заверенный через AD CS сертификат mail в virtual directories . 


    15 июля 2016 г. 9:03

Ответы

  • Добрый день,

    Я бы сделал split dns. А людям предварительно разослал инструкцию с изменениями в подключении с высокой важностью. Практика показывает, что это работает даже в больших компаниях. Вернее в маленьких, в больших наоборот обычно проблем меньше :) Бывают конечно неадекваты и упертые, но и они привыкают.

    • Помечено в качестве ответа Vladimir Sizasko 19 июля 2016 г. 8:00
    15 июля 2016 г. 9:47

Все ответы

  • Добрый день

    Для одного сервиса можно использовать один  сертификат.

    Вам нужно:

    - или запрашивать или новый сертификат с дополнительным полем SAN (в котором будет указано ваше внутренне доменное имя -  но нужно уточнять у GeoTrust можно ли выпустить  сертификат с внутренним доменным именем)

     - или менять внутренний адрес для подключения клиентов, что бы внутреннее имя было такое же как и внешнее имя.

    Но в любом случае  нужно переучивать сотрудников к подключению по полному доменному имени.


    MCPS:2012/MCTS:Exchange

    15 июля 2016 г. 9:13
  • Добрый день,

    Cкоро получу сертификат от GeoTrust на Exchange.

    Сертификат выпускается на следующие домены mail.example.ru и autodiscover.example.ru, я добавлю в Exchange здесь вопросов нету.

    Беспокойство в следующем. Люди в локальной сети привыкли работать через owa по адресу https://mail/owa.

    Не будет ли конфликта с cert GeoTrust, если я добавлю еще один само заверенный через AD CS сертификат mail в virtual directories . 


    При переходе на https://mail/owa клиент получит предупреждение безопасности (ошибку сертификата если привязать геотраст сертификат). Доверенные узлы будут только те, которые прописаны в сертификате.

    Если у вас на серверах публикации будет стоять геотраст, а внутри домена поставите свой сертификат, то все будет работать нормально, я сто раз так делал :-) Но на сервер Exchange можно поставить только один серт.



    • Изменено Guznin KA 15 июля 2016 г. 10:25
    15 июля 2016 г. 9:44
  • Добрый день,

    Я бы сделал split dns. А людям предварительно разослал инструкцию с изменениями в подключении с высокой важностью. Практика показывает, что это работает даже в больших компаниях. Вернее в маленьких, в больших наоборот обычно проблем меньше :) Бывают конечно неадекваты и упертые, но и они привыкают.

    • Помечено в качестве ответа Vladimir Sizasko 19 июля 2016 г. 8:00
    15 июля 2016 г. 9:47

  • - или запрашивать или новый сертификат с дополнительным полем SAN (в котором будет указано ваше внутренне доменное имя -  но нужно уточнять у GeoTrust можно ли выпустить  сертификат с внутренним доменным именем)

     

    этот вариант не прокатит точно. по идее уже скоро будет как год, с тех пор как выпускать san-сертификаты с внутренними именами нельзя, а потом они вообще вроде будут блокироваться:

    On October 1, 2016, all publicly trusted SSL/TLS certificates with an internal name or reserved IP address will be revoked and/or blocked by browser software. 

    подробнее можно почитать тут.

    15 июля 2016 г. 10:17