none
как экспортировать самоподписанный сертификатс exchange для tmg? RRS feed

Ответы

  • Совсем я запутался... чтож импортировать  - экспортировать... куда....


    все очень просто
    предположим у тебя внутреннее имя одно, скажем exchange.domain.local, а внешнеа mail.domain.ru. на периметре стоит isa/tmg и публикует по https (owa/oma/rpc) почтовый сервер (а точнее его iis). чтобы внешние клиенты нормально соединялись с isa/tmg у последнего в листенере должен быть сертификат (с закрытым ключом) содержащий имя mail.domain.ru. далее isa/tmg должен опять же по https передать это на exchange, для этого он должен доверять сертификату который стоит в iis на exchange. если например есть свой CA то isa|tmg  будет доверять выданным сертификатам если корневой сертификат ca будет в корневых на isa|tmg (в случае ad это происходит автоматом), а если это самоподписной то он сам себе корневой издатель и соответственно его надо добваить ручками в хранилище корневых на tmg. для этого достаточно открытого ключа

    вот матчасть http://technet.microsoft.com/en-us/library/bb794751.aspx от 2010 exchange и tmg мало чем отличается

    • Помечено в качестве ответа Yuriy Lenchenkov 20 мая 2011 г. 11:39

Все ответы

  • запусти mmc, там добавь оснастку certificates для local computer и экспортни оттуда
  • А потом куда экспортировать?

    И почемуто он экспортируется без pablik key и следовательно untrasted

  • Самоподнисанный сертификат НЕВОЗМОЖНО экспортировать с закрытым ключом. Покупайте сертификат для своего сервера или поднимайте локальный CA и создавайте на нём необходимые сертификаты. Читать здесь
    • Предложено в качестве ответа Konstantin Frantsev 13 мая 2011 г. 1:43
  • Понятно. Тогда следующий вопрос. Сейчас веду переговоры с verisign-ом о покупке сертификата, но это продлится какоето время. Можно будет для начала поднять СA а потом получив сертификат забыть о своем CA  ? кроме того, чтоб вообще проверить как работает exchange можно для начала без сертификатов опубликовать exchange на tmg для сервисов pop3/smtp а потом получив сертификат верисигна уже внедрять его?
  • Можно будет для начала поднять СA а потом получив сертификат забыть о своем CA  ?

    Конечно, можно. И это даже предпочтительнее, если у вас это первый опыт. Со своим сертификатом вы сможете точно определиться, какие именно доменные имена должны присутствовать в сертификате, и уже затем сделать заказ.

    кроме того, чтоб вообще проверить как работает exchange можно для начала без сертификатов опубликовать exchange на tmg для сервисов pop3/smtp а потом получив сертификат верисигна уже внедрять его?

    А смысл? Проверить как работает Exchange можно из внутренней сети, не публикуя его ни через что и не отключая шифрование на виртуальных каталогах в IIS. А для проверки правила публикации в ISA/TMG есть соответствующая кнопка.


     

  • ну во первых public key это открытый а не закрытый :)
    во-вторых, зачем на tmg закрытый ключ? я так понимаю что импорт сертификата нужен для публикации через https, а для этого на тмг ставят свой сертификат с внешним именем, и импортируется в корневые (чтобы доверять) сертификат от ексчендж.

  • Совсем я запутался... чтож импортировать  - экспортировать... куда....
  • На TMG должен быть установлен сертификат с закрытым ключом. Иначе TMG его не признает.
  • нет, сертификат с закрытым ключом нужен для листенера, который принимает публикацию снаружи, а потом, чтобы пробросить на exchаnge tmg должен всего лишь доверять его сертификату, а закрытый ключ от exchange ему не нужен, даже наоборот - вреден.

  • Совсем я запутался... чтож импортировать  - экспортировать... куда....


    все очень просто
    предположим у тебя внутреннее имя одно, скажем exchange.domain.local, а внешнеа mail.domain.ru. на периметре стоит isa/tmg и публикует по https (owa/oma/rpc) почтовый сервер (а точнее его iis). чтобы внешние клиенты нормально соединялись с isa/tmg у последнего в листенере должен быть сертификат (с закрытым ключом) содержащий имя mail.domain.ru. далее isa/tmg должен опять же по https передать это на exchange, для этого он должен доверять сертификату который стоит в iis на exchange. если например есть свой CA то isa|tmg  будет доверять выданным сертификатам если корневой сертификат ca будет в корневых на isa|tmg (в случае ad это происходит автоматом), а если это самоподписной то он сам себе корневой издатель и соответственно его надо добваить ручками в хранилище корневых на tmg. для этого достаточно открытого ключа

    вот матчасть http://technet.microsoft.com/en-us/library/bb794751.aspx от 2010 exchange и tmg мало чем отличается

    • Помечено в качестве ответа Yuriy Lenchenkov 20 мая 2011 г. 11:39
  • Спасибо. Читал линк, но поччемуто я не понял. Публикуется smtp-edge (ip) или excahgen ip?

    Т.е. процесс не очен ясен. Едж принимает почту а посылаеь он или ексчендж напрямую через tmg?

  • а зачем тебе сертификат на smtp?
  • Спасибо. Читал линк, но поччемуто я не понял. Публикуется smtp-edge (ip) или excahgen ip?

    Т.е. процесс не очен ясен. Едж принимает почту а посылаеь он или ексчендж напрямую через tmg?

    Если используется роль Edge Transport, сам Exchange можкт общаться только с ним. Получение почты извне - на Edge. Отправка почты - через Edge. В этом весь его смысл - ПОГРАНИЧНЫЙ ТРАНСПОРТ. Публиковать наружу нужно только Edge Transport.

    Однако наличие пограничной подписки не мешает существованию других получающих и отправляющих соединителей.