none
Сертификаты для exchange RRS feed

  • Общие обсуждения

  • Добрый день.

    Подскажите, как все-таки верно заказывтаь ssl-сертификат.

    Имеется 2 CAS в CAS array, 2 MB + 2 Edge.

    т.е. сервера casarray.domain.local (он является autodiscovery внутри), autodiscovery.domain.ru, cas1.domain.local, cas2.domain.local, mb1.domain.local, mb2.domain.local, dag.domain.local, mail.domain.ru.

    Внутри домен domain.local, снаружи  domain.ru.

    Нужны ли fqdn серверов .local?

    Или достаточно mail.domain.ru, casarray.domain.ru (он является autodiscovery внутри домена), autodiscovery.domain.ru?

    7 октября 2013 г. 10:36

Все ответы

  • если речь идет о коммерческих сертификатах, то во-первых, надо определиться, какой это будет сертификат - SAN или Wildcard. Если Wildcard, то тут все довольно просто - *.domain.ru. Если SAN, то тут должны быть несколько имен. Во первых Common name - имя домена - например domain.ru и в качестве дополнительных имен - имена публикуемых сервисов. Подробнее - здесь 

    Do not multiply entities beyond what is necessary

    7 октября 2013 г. 10:57
  • если речь идет о коммерческих сертификатах, то во-первых, надо определиться, какой это будет сертификат - SAN или Wildcard. Если Wildcard, то тут все довольно просто - *.domain.ru. Если SAN, то тут должны быть несколько имен. Во первых Common name - имя домена - например domain.ru и в качестве дополнительных имен - имена публикуемых сервисов. Подробнее - здесь 

    Do not multiply entities beyond what is necessary

    О коммерческих. Нет, не wildcard. Спасибо за ссылку, это я читал. Там не написано, какие имена должны быть для third-party CA. Повторюсь, сервера casarray.domain.local (он является autodiscovery внутри), autodiscovery.domain.ru, cas1.domain.local, cas2.domain.local, mb1.domain.local, mb2.domain.local, dag.domain.local, mail.domain.ru.

    Внутри домен domain.local, снаружи  domain.ru.

    Нужны ли fqdn серверов .local?

    Или достаточно mail.domain.ru, casarray.domain.ru (он является autodiscovery внутри домена), autodiscovery.domain.ru?

    8 октября 2013 г. 2:12
  • внутри домена достаточно сертификатов выпущенных вашим внутренним CA. Коммерческие нужны только для публикации наружу. То есть: OA, ActiveSync и OWA - mail.domain.ru, служба автообнаружения - autodiscover.domain.ru. Если ваш CAS Array т.н. Internet Facing, то добавляется имя casarray.domain.ru. 

    Do not multiply entities beyond what is necessary

    8 октября 2013 г. 4:45
  • внутри домена достаточно сертификатов выпущенных вашим внутренним CA. Коммерческие нужны только для публикации наружу. То есть: OA, ActiveSync и OWA - mail.domain.ru, служба автообнаружения - autodiscover.domain.ru. Если ваш CAS Array т.н. Internet Facing, то добавляется имя casarray.domain.ru. 

    Do not multiply entities beyond what is necessary

    А что значит CAS Array т.н. Internet Facing?

    У нас есть autodiscover внутренрий адрес и внешний (знаю, что не бест практис, но настраивал систему не я), на внутренний адрес нужен сертификат?

    Вопрос в чем. Вот допустим получу сертификат коммерческий на 3 имени:  OA, ActiveSync и OWA - mail.domain.ru, служба автообнаружения - autodiscover.domain.ru и autodiscover - внутренний адрес

    Назначу на этот сертификат службы. а на имена серверов внутри домена выпустить внутренним CA, на него службы тоже назначать? ведь внутри ssl же используется для rpc.

    8 октября 2013 г. 5:14
  • да, я уже говорил, что внутри можно использовать некоммерческие сертификаты, запросы на которые успешно создаются мастером запроса сертификатов Exchange. 

    Относительно внешнего доступа - каким образом у вас публикуется Exchange наружу?


    Do not multiply entities beyond what is necessary

    8 октября 2013 г. 5:31
  • да, я уже говорил, что внутри можно использовать некоммерческие сертификаты, запросы на которые успешно создаются мастером запроса сертификатов Exchange. 

    Относительно внешнего доступа - каким образом у вас публикуется Exchange наружу?


    Do not multiply entities beyond what is necessary

    Посредством cisco asa.

    А как службы нужно назначать тогда на публичный сертификат, а как на выданный внутренним ca? на публичный например, iis, pop, imap, smtp, а на внутренний что остается? только um можно?

    8 октября 2013 г. 6:07
  • Ну, cisco ASA не совсем конечно обратный прокси. Видимо простой проброс портов имеет место быть?

    Do not multiply entities beyond what is necessary

    8 октября 2013 г. 6:44
  • Ну, cisco ASA не совсем конечно обратный прокси. Видимо простой проброс портов имеет место быть?

    Do not multiply entities beyond what is necessary


    Да. и нат трансляции на внешний IP (у свой своя AS и PI адреса.)
    8 октября 2013 г. 9:12