none
Вопрос по сертификату RRS feed

  • Вопрос

  • Доброго времени суток!

    Получили новый wildcard сертификат. На IIS его поставил, но возник вопрос, нужно ли его назначать службе SMTP или IMAP? Если да, то на серверах с ролями CAS или MB?


    6 апреля 2021 г. 11:40

Ответы

  • Используйте Powershell и статью выше. Были ведь темы, что Wildcard сертификат нельзя установить через GUI.

    https://docs.microsoft.com/en-us/powershell/module/exchange/enable-exchangecertificate?view=exchange-ps

    • IMAP: Don't enable a wildcard certificate for the IMAP4 service. Instead, use the Set-ImapSettings cmdlet to configure the FQDN that clients use to connect to the IMAP4 service.
    • POP: Don't enable a wildcard certificate for the POP3 service. Instead, use the Set-PopSettings cmdlet to configure the FQDN that clients use to connect to the POP3 service.

    Problems with assigning services to a wildcard certificate

    Exchange 2016 Wildcard Cert

    * Wildcard SSL Certificate error in exchange 2013


    6 апреля 2021 г. 13:41
  • Наконец то до меня дошло, IMAP и MAPI over HTTP это две большие разницы. У меня используется последний, через службу IIS, а IMAP мне совершенно не нужен (спасибо Андрей Михалевский за поправку).

    По поводу SMTP, при попытке поиграться с назначением разных сертификатов этой службе, получил следующее: 

    ПРЕДУПРЕЖДЕНИЕ: Этот сертификат не будет использоваться для внешних подключений TLS с полным доменным именем
    'bl-cas-201.mechservice.ru', так как приоритет имеет сертификат, подписанный центром сертификации, с отпечатком ...

    т.е. он умеет выбирать себе (из уже выбранных) более доверенный и самый свежий сертификат полученный из CA.

    P.S. Если все таки вам нужен wildcard сертификат на службу IMAP, укажите в параметре X509CertificateName имя почтового домена, а не FQDN почтовых серверов, как это сделал я с последующими танцами с бубном. wildcard сертификат сам назначится службе IMAP.








    • Помечено в качестве ответа Rinat Moustafin 7 апреля 2021 г. 15:11
    • Изменено Rinat Moustafin 7 апреля 2021 г. 17:33
    7 апреля 2021 г. 15:10

Все ответы

  • Здравствуйте. Чтоб понять, нужно или нет, ответьте на вопрос, у Вас есть клиенты POP3 и IMAP? Если нет, то не нужно.
    6 апреля 2021 г. 11:45
  • IMAP есть POP3 нет. Смущает можно ли назначать wildcard сертификаты этим службам
    6 апреля 2021 г. 11:54
  • Значит нужен. А что Вас смущает ? Не смущайтесь, wildcard сертификат отличается от обычных SSL - сертификатов только тем, что они выдаются сразу на множество поддоменов.
    • Помечено в качестве ответа Rinat Moustafin 6 апреля 2021 г. 12:39
    • Снята пометка об ответе Rinat Moustafin 6 апреля 2021 г. 12:40
    6 апреля 2021 г. 12:09
  • Хм, попробовал

    а к SMTP это тоже относиться?

    6 апреля 2021 г. 12:44
  • Что то ерунда какая то, у меня 2 cas сервера, после установки wildcard сертификата один из них автоматом назначил его себе для службы IMAP, а второй говорит что нельзя использовать подобные сертификаты.
    6 апреля 2021 г. 13:05
  • В общем так, параметр X509CertificateName коммандлета Get-ImapSettings на одном сервере выдает имя mechservice.ru и на нем служба IMAP назначается к wild сертификату автоматом, на втором сервере параметр X509CertificateName равен внешнему почтовому имени mail.mechservice.ru и этот сервер не принимает wild сертификат к привязке службы IMAP. Скажите, как все таки сделать правильно?
    6 апреля 2021 г. 13:23
  • Используйте Powershell и статью выше. Были ведь темы, что Wildcard сертификат нельзя установить через GUI.

    https://docs.microsoft.com/en-us/powershell/module/exchange/enable-exchangecertificate?view=exchange-ps

    • IMAP: Don't enable a wildcard certificate for the IMAP4 service. Instead, use the Set-ImapSettings cmdlet to configure the FQDN that clients use to connect to the IMAP4 service.
    • POP: Don't enable a wildcard certificate for the POP3 service. Instead, use the Set-PopSettings cmdlet to configure the FQDN that clients use to connect to the POP3 service.

    Problems with assigning services to a wildcard certificate

    Exchange 2016 Wildcard Cert

    * Wildcard SSL Certificate error in exchange 2013


    6 апреля 2021 г. 13:41
  • Наконец то до меня дошло, IMAP и MAPI over HTTP это две большие разницы. У меня используется последний, через службу IIS, а IMAP мне совершенно не нужен (спасибо Андрей Михалевский за поправку).

    По поводу SMTP, при попытке поиграться с назначением разных сертификатов этой службе, получил следующее: 

    ПРЕДУПРЕЖДЕНИЕ: Этот сертификат не будет использоваться для внешних подключений TLS с полным доменным именем
    'bl-cas-201.mechservice.ru', так как приоритет имеет сертификат, подписанный центром сертификации, с отпечатком ...

    т.е. он умеет выбирать себе (из уже выбранных) более доверенный и самый свежий сертификат полученный из CA.

    P.S. Если все таки вам нужен wildcard сертификат на службу IMAP, укажите в параметре X509CertificateName имя почтового домена, а не FQDN почтовых серверов, как это сделал я с последующими танцами с бубном. wildcard сертификат сам назначится службе IMAP.








    • Помечено в качестве ответа Rinat Moustafin 7 апреля 2021 г. 15:11
    • Изменено Rinat Moustafin 7 апреля 2021 г. 17:33
    7 апреля 2021 г. 15:10
  • Наконец то до меня дошло, IMAP и IMAP over HTTP это две большие разницы. У меня используется только IMAP over HTTP через службу IIS, а чистый IMAP мне совершенно не нужен.
    Только вот не IMAP over HTTP, а MAPI over HTTP.
    7 апреля 2021 г. 15:23
  • Наконец то до меня дошло, IMAP и IMAP over HTTP это две большие разницы. У меня используется только IMAP over HTTP через службу IIS, а чистый IMAP мне совершенно не нужен.

    Только вот не IMAP over HTTP, а MAPI over HTTP.
    Да, спасибо, перепутал. Правлю свой ответ уже десятый раз, по ходу получения информации в ходе экспериментов. Вот и сейчас продеться править. Извините.
    7 апреля 2021 г. 15:52