none
Сертификат для Exchange 2016 в браузере Google Chrome RRS feed

  • Вопрос

  • Доброго времени суток!

    Интересный момент.

    Поднята роль CA на Windows Server 2012R2 и установлен MS Exchange 2016. В браузерах IE, Edge  и Yandex Browser  сертификат отображается корректно без ошибки сертификата. В Opera вроде все хорошо, но все равно он опасается из за ненадежности сертификата

     Но так как большинство наших пользователей предпочитают именно браузер google Chrome. В нем по несчастливой случайности выдает ошибку безопасности и предлагает пройти по небезопасной ссылке. Что раздражает пользователей. Я думаю что Google Chrome ругается на устаревший тип сертификата с шифрованием TLS 1.2, но в рекомендации Microsoft нужно выбирать именно этот тип сертификата, Как мне побороть этот досадный косячок, могу ли я создать тип сертификата с TLS 3.0, при создании сертификата я находил другие параметры типа SHA-1?


    6 апреля 2016 г. 2:06

Ответы

  • Ругантся на sha1, потому что его считают небезопасным. Хром об этом уже начал показывать ошибку. Ssl и tls тут не при чем. Выпустить сейчас нужно sha2 любой.

    scientia potentia est
    My blog

    6 апреля 2016 г. 4:38
  • Сделал sha-2 на CA AD, вопрос решен Статья называется Update Microsoft certificate
    authorities to use the SHA2 hashing algorithm Вопрос решен
    • Помечено в качестве ответа Vladimir Sizasko 12 апреля 2016 г. 2:05
    12 апреля 2016 г. 2:05
  • Вот статья по которой я делал

    https://blogs.technet.microsoft.com/askds/2015/04/01/migrating-your-certification-authority-hashing-algorithm-from-sha1-to-sha2/

    • Помечено в качестве ответа Vladimir Sizasko 14 апреля 2016 г. 1:43
    14 апреля 2016 г. 1:43
  • Ну вы сделали все правильно с точки зрения SHA2.

    Сам сертификат в Exchange, в нем прописан правильный путь до OWA.

    Пример У вас есть Сервер Exchange его имя EX01 домен MAIN как кратко и MAIN.RU как полно. В сертификате Exchange должно быть прописано три пути:

    EX01, EX01.main и main.kek.ru, для удобства для людей я еще сделал ссылку на mail

    • Помечено в качестве ответа Vladimir Sizasko 16 апреля 2016 г. 7:18
    16 апреля 2016 г. 7:17

Все ответы

  • Ругантся на sha1, потому что его считают небезопасным. Хром об этом уже начал показывать ошибку. Ssl и tls тут не при чем. Выпустить сейчас нужно sha2 любой.

    scientia potentia est
    My blog

    6 апреля 2016 г. 4:38
  • Проблема именно в SHA-1

    Но засада в том что средствами CA на базе windows server не удастся сделать sha-2 сертификат.

    Точнее удасться, но при этом отвалятся OWA и ECP

    Это произойдет из-за того что Exchange не поддерживает CNG провайдера windows server.

    Таким образом если хочется sha-2, то придется получать сертификат в стороннем центре сертификации. 

    9 апреля 2016 г. 21:33
  • Сделал sha-2 на CA AD, вопрос решен Статья называется Update Microsoft certificate
    authorities to use the SHA2 hashing algorithm Вопрос решен
    • Помечено в качестве ответа Vladimir Sizasko 12 апреля 2016 г. 2:05
    12 апреля 2016 г. 2:05
  • Добрый день! проблема в Sha1, так же самоподписаные сертификаты в топу,

    попробуйте получить бесплатные сертификаты от https://www.startssl.com/

    и будет вам счастье.

    12 апреля 2016 г. 5:16
  • А Вы по какому пути пошли? Сделали новый ЦС с такими настройкам  или тот что есть изменили?
    13 апреля 2016 г. 7:03
  • Изменил тот что есть
    13 апреля 2016 г. 8:06
  • Ваш ответ не верный, нужно иметь доверенные сертификаты от ведущих компаний, которые общаются с разработчиками браузеров отстегивают деньги и выпускают эти сертификаты вместе с билдами сборок
    13 апреля 2016 г. 8:08
  • Типа такого?? ссылка..  Ну ладно, я думаю надо новый поднять, потому как судя по отзыву в блоге ТУТ лучше все же новый поднять. Ладно, спасибо, буду тоже думать.
    • Изменено Avksentyev Sergey 13 апреля 2016 г. 8:11
    • Предложено в качестве ответа Booot 13 апреля 2016 г. 8:14
    • Отменено предложение в качестве ответа Booot 13 апреля 2016 г. 8:14
    13 апреля 2016 г. 8:11
  • Вот статья по которой я делал

    https://blogs.technet.microsoft.com/askds/2015/04/01/migrating-your-certification-authority-hashing-algorithm-from-sha1-to-sha2/

    • Помечено в качестве ответа Vladimir Sizasko 14 апреля 2016 г. 1:43
    14 апреля 2016 г. 1:43
  • Ну правильно.. Там Эти ссылки я и кинул. 
    14 апреля 2016 г. 7:35
  • И как теперь, работают OWA и ECP с FBA?

    Меня с такой конфигурацией при попытке ввода логина/пароля возвращает на страницу ввода пароля.

    14 апреля 2016 г. 19:26
  • Хм.. Ну вот я заморочился.. У меня изначально SHA2.. Но все равно есть некоторый косяк в хроме. Он у Вас исправился?? Я так понял ругается на RSA в открытом ключе.


    15 апреля 2016 г. 11:33
  • а чем не устраивают сертификаты от startssl ? спокойна выдаст и под sha1 и под sha2 2048 или 4096, да как угодно и продлевайте на холяву каждый год и браузеры все адекватно видят



    • Изменено Booot 15 апреля 2016 г. 17:02
    15 апреля 2016 г. 16:59
  • Тем что надо куда лезть и к кому то обращаться. . Для чего, если  есть свой СА. 

    Хотя я заметил, что технет тоже с такой же ошибкой, по этому бросил эту затею ))

    16 апреля 2016 г. 6:32
  • Ну вы сделали все правильно с точки зрения SHA2.

    Сам сертификат в Exchange, в нем прописан правильный путь до OWA.

    Пример У вас есть Сервер Exchange его имя EX01 домен MAIN как кратко и MAIN.RU как полно. В сертификате Exchange должно быть прописано три пути:

    EX01, EX01.main и main.kek.ru, для удобства для людей я еще сделал ссылку на mail

    • Помечено в качестве ответа Vladimir Sizasko 16 апреля 2016 г. 7:18
    16 апреля 2016 г. 7:17