none
Wildcard сертификат для Exchange 2010 (внешние и внутренние сервисы) RRS feed

  • Вопрос

  • Коллеги, добрый день.

    Разворачивается организация Exchange 2010, домен AD, в котором размещены серверы, третьего уровня - int.domain.ru. Соответственно, имена серверов: exch1.int.domain.ru, exch2.int.domain.ru и т.д.

    Также имеется Wildcard сертификат для домена второго уровня от публичного CA - *.domain.ru, который используется для прочих сервисов в компании. Планируется его использовать для всех сервисов Exchange 2010 - как для внутренних, так и для внешних.

    Для точки подключения, как для внешних пользователей, так и для внутренних, используется имя mail.domain.ru.

    Я указал для всех виртуальных директорий (OWA, OAB, EWS и т.п.) внешний и внутренний URL с единым именем mail.domain.ru (распределение подключений организовано встроенным NLB), импортировал на сертификат на все серверы Exchange, указал его для IIS.

    Вроде бы все работает, Outlook предупреждений безопасности не выдает.

    Опасение: какой-либо WEB-сервис все равно будет обращаться к серверам по FQDN, т.е. server.int.domain.ru, и так как FQDN сервера не удовлетворяет Wildcard сертификату, будет возникать ошибка сертификата.

    Все правильно сделал, должно работать?    

    21 ноября 2012 г. 18:32

Ответы

  • Коллеги, добрый день.

    Разворачивается организация Exchange 2010, домен AD, в котором размещены серверы, третьего уровня - int.domain.ru. Соответственно, имена серверов: exch1.int.domain.ru, exch2.int.domain.ru и т.д.

    Также имеется Wildcard сертификат для домена второго уровня от публичного CA - *.domain.ru, который используется для прочих сервисов в компании. Планируется его использовать для всех сервисов Exchange 2010 - как для внутренних, так и для внешних.

    Для точки подключения, как для внешних пользователей, так и для внутренних, используется имя mail.domain.ru.

    Я указал для всех виртуальных директорий (OWA, OAB, EWS и т.п.) внешний и внутренний URL с единым именем mail.domain.ru (распределение подключений организовано встроенным NLB), импортировал на сертификат на все серверы Exchange, указал его для IIS.

    Вроде бы все работает, Outlook предупреждений безопасности не выдает.

    Опасение: какой-либо WEB-сервис все равно будет обращаться к серверам по FQDN, т.е. server.int.domain.ru, и так как FQDN сервера не удовлетворяет Wildcard сертификату, будет возникать ошибка сертификата.

    Все правильно сделал, должно работать?    

    Была в свое время заморочка в wildcard-сертификатом на клиентах Outlook Anywhere, работающих на Win XP (им требовалось, чтобы CN совпадал с именем провайдера Outlook Anywhere, SAN в сертификатах они игнорировали). Если это не актуально, то все должно работать.


    Слава России!

    • Помечено в качестве ответа Valery Grishko 23 ноября 2012 г. 8:58
    22 ноября 2012 г. 11:05

Все ответы

  • Добрый день,

    Ну добавили-включили сертификат на CAS серверах для IIS, все работает. В чем проблема? Что Вы имеете ввиду под "какой-либо WEB-сервис все равно будет обращаться к серверам по FQDN"? Если вы имеете ввиду что при подключении по https к какому-то web серверу в сети будет выводиться предупреждение о не доверии к сертификату web узла, то тогда если вы установите wildcard на этот web узел то предупреждений не будет, так как он будет  проверенным выдавшим центром и доверенным по отношению к подключавшемуся клиенту к web узлу.


    MCTS: Microsoft Exchange Server 2007/2010 | MCSA

    22 ноября 2012 г. 7:43
  • Добрый день,

    Ну добавили-включили сертификат на CAS серверах для IIS, все работает. В чем проблема? Что Вы имеете ввиду под "какой-либо WEB-сервис все равно будет обращаться к серверам по FQDN"? Если вы имеете ввиду что при подключении по https к какому-то web серверу в сети будет выводиться предупреждение о не доверии к сертификату web узла, то тогда если вы установите wildcard на этот web узел то предупреждений не будет, так как он будет  проверенным выдавшим центром и доверенным по отношению к подключавшемуся клиенту к web узлу.


    MCTS: Microsoft Exchange Server 2007/2010 | MCSA

    Если обращение к серверу будет по FQDN - server.int.domain.ru, а сертификат на *.domain.ru, то будет предупреждение - это меня волнует. 
    22 ноября 2012 г. 8:23
  • ...Eсли вы установите wildcard на этот web узел то предупреждений не будет...


    MCTS: Microsoft Exchange Server 2007/2010 | MCSA

    22 ноября 2012 г. 8:39
  • ...Eсли вы установите wildcard на этот web узел то предупреждений не будет...


    MCTS: Microsoft Exchange Server 2007/2010 | MCSA

    Андрей, оно (предупреждение) есть по факту при обращении к серверу по имени, так как wildcard для домена второго уровня, а имя сервера в домене третьего уровня.

    Т.е. если я открываю OWA так

    https://mail.domain.ru/owa 

    то предупреждения нет, а если так

    https://server.int.domain.ru/owa 

    то предупреждение есть.

    В Outlook тоже самоей - проверено!

    Вопрос в том, что нужно сделать, что бы обращений по FQDN сервера точно не было.

    22 ноября 2012 г. 9:58
  • Коллеги, добрый день.

    Разворачивается организация Exchange 2010, домен AD, в котором размещены серверы, третьего уровня - int.domain.ru. Соответственно, имена серверов: exch1.int.domain.ru, exch2.int.domain.ru и т.д.

    Также имеется Wildcard сертификат для домена второго уровня от публичного CA - *.domain.ru, который используется для прочих сервисов в компании. Планируется его использовать для всех сервисов Exchange 2010 - как для внутренних, так и для внешних.

    Для точки подключения, как для внешних пользователей, так и для внутренних, используется имя mail.domain.ru.

    Я указал для всех виртуальных директорий (OWA, OAB, EWS и т.п.) внешний и внутренний URL с единым именем mail.domain.ru (распределение подключений организовано встроенным NLB), импортировал на сертификат на все серверы Exchange, указал его для IIS.

    Вроде бы все работает, Outlook предупреждений безопасности не выдает.

    Опасение: какой-либо WEB-сервис все равно будет обращаться к серверам по FQDN, т.е. server.int.domain.ru, и так как FQDN сервера не удовлетворяет Wildcard сертификату, будет возникать ошибка сертификата.

    Все правильно сделал, должно работать?    

    Была в свое время заморочка в wildcard-сертификатом на клиентах Outlook Anywhere, работающих на Win XP (им требовалось, чтобы CN совпадал с именем провайдера Outlook Anywhere, SAN в сертификатах они игнорировали). Если это не актуально, то все должно работать.


    Слава России!

    • Помечено в качестве ответа Valery Grishko 23 ноября 2012 г. 8:58
    22 ноября 2012 г. 11:05