none
Установка коммерческого сертификата Exchange 2010 совместно с самоподписным RRS feed

  • Вопрос

  • Добрый день!

    Помогите пожалуйста разобраться со следующим вопросом. Для публикации owa, activesync и autodiscover планируем приобрести коммерческий сертификат SAN. 

    Как я понял после установки коммерческого сертификата, на внутренних клиентах outlook, возникает ошибка о том, что имя сертификата недопустимо.

    Вопрос в следующем можно ли для внешних подключений использовать коммерческий сертифкат, а для внутренних самоподписный, если да, то каков порядок действий для решения данного вопроса.

    Внутренний и внешний домен разные.
    20 ноября 2014 г. 5:33

Ответы

  • Здравствуйте. Если ваше сервер клиентского доступа смотрит в интернет "Напрямую", то есть без обратного прокси, то ошибка будет появляться, если в поле альтернативных имен не будет необходимых DNS записей, указывающих на имена внутреннего домена. В этом случае, если вы планируете приобрести коммерческий сертификат, необходимо будет добавить требуемые имена (внутреннего домена) в список альтернативных имен.

    Если же использовать обратный прокси, то коммерческий сертификат устанавливается на этом сервере, а на Exchange остается сертификат выданный вашим внутренним CA и указанных ошибок не возникает.

    В первом случае стоимость сертификата может быть довольно большой, и, насколько я помню, сейчас существуют проблемы с внесением в поля SAN имен локальных доменов. К тому же точно будет проблема с доступом от доменных клиентов под Windows XP. Я бы порекомендовал вам использовать обратный прокси с коммерческим сертификатом, а для Exchange использовать сертификат, выданный вашим внутренним центром сертификации.


    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа Alexey Nikiforov 21 ноября 2014 г. 17:36
    20 ноября 2014 г. 6:33

Все ответы

  • Здравствуйте. Если ваше сервер клиентского доступа смотрит в интернет "Напрямую", то есть без обратного прокси, то ошибка будет появляться, если в поле альтернативных имен не будет необходимых DNS записей, указывающих на имена внутреннего домена. В этом случае, если вы планируете приобрести коммерческий сертификат, необходимо будет добавить требуемые имена (внутреннего домена) в список альтернативных имен.

    Если же использовать обратный прокси, то коммерческий сертификат устанавливается на этом сервере, а на Exchange остается сертификат выданный вашим внутренним CA и указанных ошибок не возникает.

    В первом случае стоимость сертификата может быть довольно большой, и, насколько я помню, сейчас существуют проблемы с внесением в поля SAN имен локальных доменов. К тому же точно будет проблема с доступом от доменных клиентов под Windows XP. Я бы порекомендовал вам использовать обратный прокси с коммерческим сертификатом, а для Exchange использовать сертификат, выданный вашим внутренним центром сертификации.


    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа Alexey Nikiforov 21 ноября 2014 г. 17:36
    20 ноября 2014 г. 6:33
  • Большое спасибо за помощь, разобрался!))

    Может кто-то по другому делает, но я делал так. На Exchnage сервере сгенерировал запрос на сертификат SAN, который включает в себя 2 доменных имени (mail.firma.ru и autodiscover.firma.ru), далее заказал сертификат, после получения сертификата подтвердил его на Exchnge сервере, службы на него не переключал. Далее экспортировал его с Exchange и импортировал на TMG, после чего заменил в прослушивателе. 

    Сейчас все замечательно работает и внутри и снаружи.


    21 ноября 2014 г. 17:44