none
Сертификаты для Exchange 2013 RRS feed

  • Общие обсуждения

  • Все!!! Достало!!! Я уже созрел для закупки сертификата... :)

    Вопросы:

    1. Лучше брать сертификат на локальный центр сертификации? Если лучше, то какую компанию посоветуете?

    2. Если брать сертификат непосредственно на сервер, какие имена ПРАВИЛЬНЕЕ всего указывать?

    3. Стоит ли заморачиваться с сертификатами EV (Extended Validation)?

    4. Ваши пожелания для меня на этой тяжкой стезе... :)

    2 марта 2015 г. 9:19

Все ответы

  • Сейчас очень актуально учитывать политический момент и не выбирать компанию из проблемных стран: например, компания GoDaddy совершенно не годится ныне.

    Сертификах wildcard.

    EV излишество.


    Сазонов Илья http://isazonov.wordpress.com/

    2 марта 2015 г. 9:31
    Модератор
  • А причем тут локальный центр сертификации? Я так понимаю, вам необходим коммерческий сертификат для публикации Exchange наружу, для внешнего доступа. Выбор довольно большой и все зависит от вашего бюджета. В принципе, можно обойтись самым простейшим сетификатом (содержащим одно имя), но чаще всего покупают либо SAN либо Wildcard сертфикат.

    Для внутренних целей коммерческий сертификат не нужен, поскольку внутри домена доверие на основе сертификатов легко организуется групповыми политиками, как и распространение сертификата вашего СА. А вот для нормального полноценного внешнего доступа - необходим именно коммерческий сертификат. Если вы не планируете использовать сертификат для иных целей, кроме публикации веб сервисов Exchange, то заказывайте простой сертификат, включающий в себя имя, соответствующее имени, под которым вы публикуете сервисы Exchange. Также, важный момент - какием образом публикуется Exchange. Если посредством Reverse Proxy - это одно, если же ваш сервер клиентского доступа смотрит в интернет напрямую (нерекомендуемое решение) то совсем другое. Так же важно, отличается имя вашего домена (внутреннее) от публичного его имени.

    Для более полного понимания темы почитайте статью Technet


    Do not multiply entities beyond what is necessary

    2 марта 2015 г. 9:37
  • Спасибо за информацию.

    Частично полезно было.

    Отвечу на вопрос зачем для центра сертификации - если использовать только для Exchange, то "завтра" может понадобиться для сайта, или портала, или для RDP-шлюза, да мало ли еще для каких вещей. Т.е. на мой взгляд лучше сертифицировать собственный центр, и использовать его "локальные" сертификаты, чем использовать сначала один, потом еще один, а потом количество и до 5 штук дойдет. Как бы дешевле не было бы сертифицировать центр...

    2 марта 2015 г. 10:37
  • А каким образом вы собираетесь "сертифицировать" свой внутренний центр сертификации?

    Do not multiply entities beyond what is necessary

    2 марта 2015 г. 10:43
  • Сертифицировать можно, только зачем? - На компьютерах все равно не будет вашего корневого сертификата автоматически появляться.

    Сазонов Илья http://isazonov.wordpress.com/

    2 марта 2015 г. 10:45
    Модератор
  • Купить сертификат для центра сертификации... :)

    GPO никто не отменял - через них нормально уходят сертификаты.

    2 марта 2015 г. 12:43
  • Купить сертификат для центра сертификации... :)

    Было бы весьма небезинтересно услышать историю процесса... :)

    S.A.

    2 марта 2015 г. 14:10
  • Что то Вы путаете.. Вы хоть представляете смысл этих сертификатов??  А все просто, "понт" от покупного сертификата в том, что он уже будет прописан у клиентов, то есть центры, выпустившие его будут будут в доверенных. Если этого нет, то он ничем не отличается от локального вашего в домене. мне вот интересно, КАК?? Вы будете через GPO распространять сертификат на левые компы не в вашем домене? Только не говорите что в ручную поставите всем )))
    2 марта 2015 г. 19:01
  • Было бы весьма небезинтересно услышать историю процесса... :)

    S.A.

    Если пойдем по этому пути, расскажу! :)

    Нет, не путаю, я про локальную сеть думал. Про наружу тут и так понятно. :)

    P.S. Пока предварительно остановился на Geotrust True BusinessID SAN (ucc/san) от РуЦентра (до 6 имен). Пойдет?

    3 марта 2015 г. 4:59
  • Лучше вилдкард и можно подешевле например rapidssl

    https://www.isplicense.ru/services/ssl-sert/rapidssl/?c=RapidSSL+Wildcard

    3 марта 2015 г. 5:21
  • P.S. Пока предварительно остановился на Geotrust True BusinessID SAN (ucc/san) от РуЦентра (до 6 имен). Пойдет?

    Как решение для внешнего доступа к Exchange (без затрат на обеспечение доверия своему внутреннему ЦС на внешних клиентах) - конечно. В качестве "сертификата для центра сертификации" - никаким боком.


    S.A.

    3 марта 2015 г. 5:34
  • Как решение для внешнего доступа к Exchange (без затрат на обеспечение доверия своему внутреннему ЦС на внешних клиентах) - конечно. В качестве "сертификата для центра сертификации" - никаким боком.


    S.A.

    Это для сертификации самого сервера, не центра сертификации, для сертификации центра слишком много проблем возникает... :)
    3 марта 2015 г. 5:53