none
Локальный центр сертификации и сертификат exchange

    Вопрос

  • Развернута роль центра сертификации на контроллере домена, не стоит WebEnrollbent (кстати, как эта роль называется на русскоязычном сервере)? На эксч сейчас установлены самоподписные сертификаты.

    Примерный план действия:

    Добавляю сертификат центра сертификации в локальные доверенные корневые ЦС эксченджа. Разворачиваю роль на центре сертификации для возможности получения сертификатов через веб (эту самую WebEnrollbent), включаю поддержку san, после чего создаю запрос сертификата на эксч (где перечисляются все почтовые домены), подписываю его через веб(на этом шаге нужно еще прописывать san?), выполняю запрос со стороны эксч.

    У доменных пользователей сертификат ЦС установлен в личные сертификаты и доверенные ЦС (видимо, автоматически при развертывание роли ЦС). Получается, что при подписании сертификата эксченджа локальным центром сертификации, все доменные юзеры будут доверять этому сертификату. Как быть с недоменными юзерами? Достаточно ли будет им импортировать сертификат центра сертификации в локальное хранилище?

    11 октября 2018 г. 11:24

Ответы

  • Настоятельно рекомендую вам купить обычный san-сертификат у публичных провайдеров. Стоит это сущие копейки, не многим более пары тысяч рублей. С таким сертификатом вы сразу же избавляетесь от проблем с доверием у любых юзеров, в том числе и мобильных клиентов.

    Если внутренний домен у вас вида domain.local, то это тоже не проблема. Вам надо запилить split dns и дело в шляпе

    11 октября 2018 г. 13:25

Все ответы

  • Здесь хорошо по шагам расписано - https://practical365.com/exchange-server/create-ssl-certificate-request-exchange-2013/
    11 октября 2018 г. 11:50
  • Здесь хорошо по шагам расписано - https://practical365.com/exchange-server/create-ssl-certificate-request-exchange-2013/

    К сожалению, ссылка неактивна
    11 октября 2018 г. 12:08
  • Ссылка активна.
    11 октября 2018 г. 12:29
  • Здесь хорошо по шагам расписано - https://practical365.com/exchange-server/create-ssl-certificate-request-exchange-2013/


    К сожалению, ссылка неактивна
    скопируйте и вставьте в браузер!
    11 октября 2018 г. 12:46
  • Ссылка активна.

    Только на телефоне открылась.

    У меня конкретные вопросы заданы, на них ответов нет в статье.

    11 октября 2018 г. 13:00
  • Здесь хорошо по шагам расписано - https://practical365.com/exchange-server/create-ssl-certificate-request-exchange-2013/


    К сожалению, ссылка неактивна

    скопируйте и вставьте в браузер!

    Спасибо за разъяснение! Но не помогло
    11 октября 2018 г. 13:01
  • Для недоменных пользователей нужно добавить сертификат корневого и промежуточного CA в доверенные, либо использовать коммерческие сертификаты.
    11 октября 2018 г. 13:10
  • Настоятельно рекомендую вам купить обычный san-сертификат у публичных провайдеров. Стоит это сущие копейки, не многим более пары тысяч рублей. С таким сертификатом вы сразу же избавляетесь от проблем с доверием у любых юзеров, в том числе и мобильных клиентов.

    Если внутренний домен у вас вида domain.local, то это тоже не проблема. Вам надо запилить split dns и дело в шляпе

    11 октября 2018 г. 13:25
  • Настоятельно рекомендую вам купить обычный san-сертификат у публичных провайдеров. Стоит это сущие копейки, не многим более пары тысяч рублей. С таким сертификатом вы сразу же избавляетесь от проблем с доверием у любых юзеров, в том числе и мобильных клиентов.

    Если внутренний домен у вас вида domain.local, то это тоже не проблема. Вам надо запилить split dns и дело в шляпе


    Спасибо! Почему не wildcard? Внутренний вида domain.local, а почтовых доменов очень много, причем они постоянно добавляются, и неизвестно, какие именно имена добавятся в следующем году. Также, у эксч ведь несколько сертификатов, и все их рекомендуется подписывать
    11 октября 2018 г. 13:34
  • Можно и wildcard, это тоже многие используют. Тут только есть риск, что в случае его утечки, все ваши опубликованные хосты будут скомпрометированы.  
    11 октября 2018 г. 14:23
  • Ну потому что wildcard сам по себе сильно дороже. А так можно и его.

    Все обслуживаемые домены закидывать в сертификат не обязательно, но тут конечно все очень зависит какие домены (или в базовом варианте один домен) юзеры используют как основные.

    11 октября 2018 г. 16:41