none
Смена самоподписного сертификата (CAS) на купленный wildcard от заверенного CA RRS feed

  • Вопрос

  • Коллеги,

    нигде не освещаются проблемы с которыми можно столкнуться при смене самоподписного сертификата exchange 2010 на купленный от авторизованного цента.

    При новой установке или миграции на exсhange 2010 у нас не будет под рукой купленного сертификата, во всех инструкциях написано что нехорошо использовать самоподписный сертификат, но среда использования диктует свои требования. С какими трудностями мы столнемся, если мигрируем или устанавливаем exchange 2010 с самоподписным сертификатом, а потом покупаем  и заменяем сертификат у авторизованного CA?

    6 сентября 2012 г. 7:03

Ответы

  • День добрый.

    Вы столкнетесь с распространеннием самоподписного сертификата на все мобильные устройства и копьютеры. Если у вас сейчас нет возможности его купить, вам ничего не мешает развернуть локальный PKI м в этом случае вам понадобиться распространять только Root сертификат на мобильные устройства.


    MCITP. Знание - не уменьшает нашей глупости.

    • Помечено в качестве ответа Yuriy Lenchenkov 11 сентября 2012 г. 11:33
    6 сентября 2012 г. 7:30
    Модератор
  • Добрый день,

    Если включить wildcard сертификат для сервисов Exchange то проблем не должно возникнуть.

    Само-подписанному сертификату доверяют только сервера Ecxhange в одной организации, в той в какой они установлены.

    Для публикации сервисов (OWA, ActiveSync, Autodiscover, OutlookAnyWhere) Вам нужен сертификат либо подписанный внутренним CA (для этого необходимо развернуть свой внутренний PKI), но тогда копию рутового сертификата CA нужно будет установить на внешних клиентах которым необходим доступ к сервисам, либо купить сертификат у доверенного поставщика.

    Если организация не большая, я бы Вам посоветовал развернуть свой PKI.

    Для более подробной информации о типах сертификатов и их выборе, обратитесь к статья ниже.

    Understanding Digital Certificates and SSL


    MCTS: Microsoft Exchange Server 2007/2010 | MCSA




    • Изменено Andrey Podlesnykh 6 сентября 2012 г. 7:41
    • Помечено в качестве ответа Yuriy Lenchenkov 11 сентября 2012 г. 11:33
    6 сентября 2012 г. 7:39

Все ответы

  • День добрый.

    Вы столкнетесь с распространеннием самоподписного сертификата на все мобильные устройства и копьютеры. Если у вас сейчас нет возможности его купить, вам ничего не мешает развернуть локальный PKI м в этом случае вам понадобиться распространять только Root сертификат на мобильные устройства.


    MCITP. Знание - не уменьшает нашей глупости.

    • Помечено в качестве ответа Yuriy Lenchenkov 11 сентября 2012 г. 11:33
    6 сентября 2012 г. 7:30
    Модератор
  • Добрый день,

    Если включить wildcard сертификат для сервисов Exchange то проблем не должно возникнуть.

    Само-подписанному сертификату доверяют только сервера Ecxhange в одной организации, в той в какой они установлены.

    Для публикации сервисов (OWA, ActiveSync, Autodiscover, OutlookAnyWhere) Вам нужен сертификат либо подписанный внутренним CA (для этого необходимо развернуть свой внутренний PKI), но тогда копию рутового сертификата CA нужно будет установить на внешних клиентах которым необходим доступ к сервисам, либо купить сертификат у доверенного поставщика.

    Если организация не большая, я бы Вам посоветовал развернуть свой PKI.

    Для более подробной информации о типах сертификатов и их выборе, обратитесь к статья ниже.

    Understanding Digital Certificates and SSL


    MCTS: Microsoft Exchange Server 2007/2010 | MCSA




    • Изменено Andrey Podlesnykh 6 сентября 2012 г. 7:41
    • Помечено в качестве ответа Yuriy Lenchenkov 11 сентября 2012 г. 11:33
    6 сентября 2012 г. 7:39
  • При использовании wildcard вы должны прописывать полные имена.

    Например.

    mail.domain.com

    autodiscover.domain.com

    Дополнительно прописать.

    Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:*.domain.com


    MCITP. Знание - не уменьшает нашей глупости.

    6 сентября 2012 г. 7:43
    Модератор
  • День добрый.

    Вы столкнетесь с распространеннием самоподписного сертификата на все мобильные устройства и копьютеры. Если у вас сейчас нет возможности его купить, вам ничего не мешает развернуть локальный PKI м в этом случае вам понадобиться распространять только Root сертификат на мобильные устройства.


    MCITP. Знание - не уменьшает нашей глупости.

    Олег, по сути каждый мобильный клиент потребует ручного добавления корневого сертификата локального PKI. После установки сертификата  авторизованного CA данные сертификаты добавятся в сертификатные хранилища клиентов и проблем не будет.

    Если это единственная проблема то я могу смело устанавливать самоподписный сертификат и мигрировать почтовые ящики со старого сервера на новый сервер?


    • Изменено Werdnak 6 сентября 2012 г. 8:37 синтаксис
    6 сентября 2012 г. 8:36
  • Это основная причина.

    В случае с локальным PKI.

    1.Требование установки на устройство Root PKI.

    2.Требуется опубликовать CRL отозваных сертификатов.

    Пример. Устанавливаем Certification Authority (часть 1) — Введение

    В случае с самоподписным сертификатом.

    1. Вам установить на все компьютеры и мобильные устройства смоподписный сертификат.

    2. Вам таже требуется его установить на Exchange сервера организации с которых вы будите мигрировать почту.

      


    MCITP. Знание - не уменьшает нашей глупости.

    6 сентября 2012 г. 10:07
    Модератор
  • Отмечу, что Android и iOS устройствам сертификат не принципиален.
    6 сентября 2012 г. 10:25
    Отвечающий
  • Для IOS да, для Android зависит от версии.


    MCITP. Знание - не уменьшает нашей глупости.

    7 сентября 2012 г. 11:56
    Модератор