none
Выдача сертификатов для нескольких CAS RRS feed

  • Вопрос

  • Один лес и один домен MS Server 2012 R2 в одном сайте, Private CA.

    При настройке двух CAS серверов MS Exchange 2013 Load Balancing через DNS RR необходимо каждому выдать сертификат, если не ошибаюсь. Использоваться будет по умолчанию Split DNS, т.е. одно DNS имя для внутреннего и внешнего URL.

    Получается, что после выдачи этих двух сертификатов у каждого CAS сервера будет импортирован свой, соотв-но. Но при настройке GPO для всех клиентов в домене для распространения сертификата, нужно указывать оба этих сертификата также? Есть ли тут какие-то нюансы?

    4 марта 2015 г. 11:55

Ответы

  • Добрый день.

    На CAS сервера очень рекомендуется устанавливать один и тот же сертификат (т.е. один сертификат с несколькими именами). Если будут разные сертификаты, то при переключении с одного CAS на другой CAS у пользователя будет происходить запрос пароля.


    Blog - Smtp25.ru
    Полезные ссылки - Links

    • Помечено в качестве ответа osada 5 марта 2015 г. 7:12
    4 марта 2015 г. 12:34
    Отвечающий
  • После того, как сертификат будет размещен в хранилище сервера Exchange, необходимо назначить его службам Exchange. Поскольку речь идет о клиентском доступе, то сертификат назначается службе IIS (POP и IMAP, если они задействованы). Назначение можно произвести как посредством EAC (в окне свойств сертификата) так и посредством EMS (Set-ExchangeCertificate)

    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа osada 5 марта 2015 г. 7:11
    5 марта 2015 г. 6:42

Все ответы

  • Добрый день.

    На CAS сервера очень рекомендуется устанавливать один и тот же сертификат (т.е. один сертификат с несколькими именами). Если будут разные сертификаты, то при переключении с одного CAS на другой CAS у пользователя будет происходить запрос пароля.


    Blog - Smtp25.ru
    Полезные ссылки - Links

    • Помечено в качестве ответа osada 5 марта 2015 г. 7:12
    4 марта 2015 г. 12:34
    Отвечающий
  • Добрый день!

    Правильно ли я понимаю следующее?

    Два сервера CAS1.test.com и CAS2.test.com, при настройке Load Balancing через DNS RR указываю для обоих серверов единое имя mail.test.com.

    При запросе сертификата с CAS1 у CA я указываю везде  имя mail.test.com. Мне CA затем выдает данный сертификат, я его импортирую на CAS1.

    А вот как сделать правильно запрос для CAS2? Необходимо просто этот же самый сертификат, выданный для CAS1 импортировать для CAS2? Т.е., как таковой запрос на выдачу сертификата с CAS2 на CA  делать не нужно?

    Или в корне неправильно?


    • Изменено osada 5 марта 2015 г. 3:19
    5 марта 2015 г. 2:17
  • Все верно. Запрос делаете и выпускаете сертификат для одного сервера. Затем экспортируете в формат pfx и импортируете на второй сервер. Не забывайте привязать сертификат к службам.

    Do not multiply entities beyond what is necessary

    5 марта 2015 г. 4:34
  • "Не забывайте привязать сертификат к службам." - можно поподробнее, что тут имеется в виду?

    5 марта 2015 г. 5:23
  • После того, как сертификат будет размещен в хранилище сервера Exchange, необходимо назначить его службам Exchange. Поскольку речь идет о клиентском доступе, то сертификат назначается службе IIS (POP и IMAP, если они задействованы). Назначение можно произвести как посредством EAC (в окне свойств сертификата) так и посредством EMS (Set-ExchangeCertificate)

    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа osada 5 марта 2015 г. 7:11
    5 марта 2015 г. 6:42
  • в EMS делается через Enable-ExchangeCertificate

    Blog - Smtp25.ru
    Полезные ссылки - Links

    5 марта 2015 г. 6:46
    Отвечающий
  • в EMS делается через Enable-ExchangeCertificate

    Blog - Smtp25.ru
    Полезные ссылки - Links


    Совершенно верно, спасибо за поправку. :)

    Do not multiply entities beyond what is necessary

    5 марта 2015 г. 6:56
  • Всем большое спасибо!
    5 марта 2015 г. 7:12