none
Помогите с сертификатом для Exchange 2007 RRS feed

  • Вопрос

  • Здравствуйте

    У меня в организации есть три сервера почтовых баз данных срв1, срв2, срв3. Сервера срв1 и срв2 объединены в SCR-кластер кл1. Сервер срв3 - отдельностоящее (не кластерное) хранилище почтовых баз данных. Кроме этого существует один транспортный сервер трн1, совмещающий роли CAS и HUB (в ближайшее время появятся еще два транспортника с ролями CAS и HUB, но в в других сайтах). Сейчас используется сертификат выданный при установке Exchange 2007 и на транспортнике постоянно возникает ошибка 12014 от MSExchangeTransport

    Microsoft Exchange couldn't find a certificate that contains the domain name monkey.nbtec.ru in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector * with a FQDN parameter of monkey.nbtec.ru. If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.

    Меня эта ошибка никогда не напрягала в силу того, что прием и отправку почты производит FreeBSD - Exchange находится в изолированных, тепличных условиях. Но сейчас возникла необходимость в Outlook Anywere (внутри локальной сети и из интернет), OWA, pop3, imap и отправке почты напрямую между Exchange и внешними получателями (хочется это делать по TLS). OWA нормально заработала и с умолчальным сертификатом. Броузер, конечно, орет на некорректный сертификат, но это не страшно. ISA в сети используется как одноногий кеширующий прокси сервер, все пробросы в интренет и обратно реализованы в Cisco. Поэтому сертификат для ISA мне, вроде бы, не нужен.

    В интернет Exchange "видется" как mail.company.ru. Это же имя (mail.company.ru) разрешается внутренним днс в IP-адрес транспортного сервера трн1. Имена owa.company.ru и mail.company.ru разрешаются внешними днс во внешний IP-адрес, с которого должна уходить почта.

    Я запутался в том как мне одним сертификатом охватить все имена серверов (внешние и внутренние), имена служб Exchange (OWA, POP3, IMAP, SMTP, Outlook anywere). Киньте ссылочек на статьи про генерацию сертификатов (желательно по-русски) или опишите принцип генерации сертификатов для случая когда роли разнесены на много серверов.

    Заранее спасибо.


    • Перемещено Hengzhe Li 12 марта 2012 г. 9:12 forum merge (От:Exchange Server 2007)
    9 сентября 2009 г. 12:01

Ответы

Все ответы

    • Помечено в качестве ответа Vinokurov Yuriy 14 сентября 2009 г. 9:11
    9 сентября 2009 г. 12:17
    • Помечено в качестве ответа Vinokurov Yuriy 14 сентября 2009 г. 9:11
    9 сентября 2009 г. 17:28
  • За ссылочки спасибо.

    Но у меня непонятки. В сертификате надо указывать внутреннее имя транспортного сервера или имя сервера (кластера) почтовых ящиков?

    И еще. При посылке почты сервер представляется внешним. зарегистрированным во внешнем DNS FQDN-именем, которое имеет вид mail.company.ru. На внутреннем DNS для транспортного сервера я сделал CNAME вида owa.company.ru (чтобы юзеры ходили на OWA по одной ссылке внутри сети и с инета). Надо ли мне в моей ситуации прописывать в сертификате внутреннее имя транспортного сервера, имеющее вид trn1.lodal.domain и, естественно, не разрешаемое внешними DNS-серверами? Надо ли, вообще, прописывать в сертификате, который будет выдавать, кроме всего прочего, внешним пользователям, внутренние имена серверов?

    Для службы SMTP надо указывать тоже доменное имя почтового сервера, которым сервер "представляется" при посылке сообщений?

    • Изменено GoodwiN 10 сентября 2009 г. 8:40
    10 сентября 2009 г. 7:52
  • Сервера CAS/HUB. И не только внутреннее, но и внешнее. В последней ссылке все детально написано по русски :)

    10 сентября 2009 г. 8:29