none
Как правильно создать ПЛАТНЫЙ сертификат для работы ВСЕХ служб Microsoft Exchange 2010 (OWA, Outlook Anywhere, Autodiscovery и т.д.) RRS feed

  • Вопрос

  • Добрый день. Перечитал много источников. Где-то говорится, что нужно пользоваться командлетом Exchange Shell, где-то говорится, что нужно пользоваться визардом, который появился в 2010 версии. Вот и выходит, что в голове каша, а возможности экспериментировать нету, т.к. сертификат будет покупаться и что я запрошу - то мне и продадут. Не хотелось бы сгенерировать и в последствии купить не то. что нужно. Если можно. по шагам, объясните, как правильно сделать запрос на новый сертификат для Exch 2010, вплоть до необходимых публичных имён доменов (я просто не курсе сколько вообще должно быть имён). Имею внутренний домен AD "Company.Local", сервер Exchange (один для всех возможных на одном сервере ролей) с именем "Server.Company.Local" и внешний домен "Company.Ru". Основное публичное имя сервера Exchange 2010 будет "Mail.Company.Ru". Если всё-таки нужно использовать Shell, то прошу указать пример необходимой команды с учётом моих данных. Спасибо.
    13 июля 2010 г. 11:52

Все ответы

  • Добрый день,

    насколько я помню, то нужно создать запрос, после чего вот тут все достаточно подробно описано. А по поводу имен вот тут подробно тоже все описано.

    16 июля 2010 г. 9:18
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    19 июля 2010 г. 10:45
    Модератор
  • Прочитал Ваши ссылки....в который раз. Снова больше вопросов чем ответов.

    1. Почему при рекомендациях по именам нет никаких упоминаний о таком хосте как Autodiscover.Company1.Ru?

    2. почему рекомендуют: "Все имена обслуживаемых доменов организации   Чтобы заполнить поле «Дополнительное имя субъекта» для конечного сертификата, используйте параметр IncludeAcceptedDomains командлета New-ExchangeCertificate." Разве нельзя сделать так, чтобы OWA, OutlookAnywhere, Autodiscovery и пр. клиентские сервисы откликались на имена Mail.Company1.Ru, Autodiscover.Company1.Ru, а для Company2.Ru на публичном DNS была прописана только MX запись на Exch'2010 и соответственно почта валилась бы для обоих доменов, а клиенсткие сервисы были бы доступны только на адресах: Mail.Company1.Ru, Autodiscover.Company1.Ru?

    Если создавать запрос с помощью визарда (уже понял, что Microsoft не рекомендует что ли использовать визард, если в коммерческий CA данные отправляются), то получается вообще каша с огромным списком имён хостов (в т.ч. и локальных).

    А у меня в покупном сертификате в цену включено только 3 имени хоста, а каждый дополнительный за 2 т.р./год.

    Помогите, пожалуйста, составить этот запрос с учётом того, что у меня в Accepted Domains будет фигурировать 2 публичных домена (Company1.Ru, Company2.Ru), должны использоваться все предоставляемые сервисы типа OWA, OutlookAnywhere, ActiveSync, Autodiscovery (хотя бы на одном домене, см. вопрос 2 в этом посте), а также с учётом минимизации затрат на ежегодное обслуживание сертификата, т.е. необходимо минимизировать число дополнительных (свыше трёх) SAN.

    Откликаться все сервисы должны по адресу: Mail.Company1.Ru

    19 июля 2010 г. 20:36
  • Хм...

    А вы уже пробовали установить платный сертефикат? Может быть, имеет смысл попробовать? Мне кажется, что ответы на ваши вопросы могут быть вот тут и вот тут.

    А по поводу имен вот тут все подробненько расписано.



    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    21 июля 2010 г. 7:54
    Модератор
  • А у меня в покупном сертификате в цену включено только 3 имени хоста, а каждый дополнительный за 2 т.р./год.
    Если вам нужен сертификат для большого количества имен - закажите сертификат для *.domain.ru
    21 июля 2010 г. 13:03
  • Я просто хочу точно определить все позиции (для одного домена), которые нужно (именно нужно, а не рекомендуется богатыми американцами) включать в сертификат. Что-то мне совсем не улыбается включать за деньги в платный сертификат от COMODO NetBIOS имя, которое если где и будет использоваться, то только внутренними клиентами, которые и без того УЖЕ прекрасно работают.
    21 июля 2010 г. 18:50
  • Уважаемый pil123,

    вы смогли создать сертификат? Поделитесь опытом. Спасибо.



    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    12 августа 2010 г. 14:22
    Модератор
  • Все клиентские сервисы (означеные выше), требующие сертификатов UC запущены и работают нормально.

    Создал коммерческий сертификат с CN = Mail.Company.Ru и SAN = Mail.Company.Ru, Autodiscover.Company.Ru и FQDN CAS, таким образом уложившись в стартовое число имён - 3. Этот сертификат используется на двух серверах: CAS, TMG. Есть предположение, что можно обойтись и без FQDN CAS в SAN коммерческого сертификата, но тогда сертификат для CAS нужно будет выдать локальным CA. А высвободившийся SAN в коммерческом сертификате можно будет использовать для чего-нибудь полезного, например настройки работы VPN (SSTP).

    Надеюсь кому-нибудь помог.

     

    Считаю, тему можно считать "отвеченой".

    20 августа 2010 г. 13:30