none
Публичный сертификат для Exchange RRS feed

  • Вопрос

  • Добрый день! Кто сталкивался, подскажите, сколько стоит его приобрести? И какие выгодны по сравнению с использованием внутреннего из корпоративного CA?

Ответы

  • >Сколько стоит...

    Цены разные, все зависит от того где покупать, и от параметров самого сертификата. Посмотреть подробнее можно например тут - http://www.verisign.com/ssl/buy-ssl-certificates/index.html?tid=a_box

    PS. Можно найти и дешевле, чем у VeriSign`a

    >Выгоды...

    Внешним клиентам не нужно устанавливать сертификат вашего корневого СА в трасты, чтобы без проблем доверять сертификату сервера. + Просто, удобно, престижно и т.п.


    http://alexxhost.ru
    • Помечено в качестве ответа Yuriy Lenchenkov 13 мая 2011 г. 11:17
  • если имя подходит то без проблем, для exchange делается такой же сертификат что и для сайтов (по сути других то для серверов и не выпускают :))

    • Помечено в качестве ответа Yuriy Lenchenkov 13 мая 2011 г. 11:17

Все ответы

  • >Сколько стоит...

    Цены разные, все зависит от того где покупать, и от параметров самого сертификата. Посмотреть подробнее можно например тут - http://www.verisign.com/ssl/buy-ssl-certificates/index.html?tid=a_box

    PS. Можно найти и дешевле, чем у VeriSign`a

    >Выгоды...

    Внешним клиентам не нужно устанавливать сертификат вашего корневого СА в трасты, чтобы без проблем доверять сертификату сервера. + Просто, удобно, престижно и т.п.


    http://alexxhost.ru
    • Помечено в качестве ответа Yuriy Lenchenkov 13 мая 2011 г. 11:17
  • 400$ в год выходит. дороговато конечно. У нас есть сертификат который делался для сайта и вот не знаю, можно ли его прикрутить к эксченджю?
  • 400$ - это без поля SAN ;)

    Вроде как можно найти и за 200-300$

    >У нас есть сертификат который делался для сайта

    Вся фишкав том, на какое имя сертификат выдан.


    http://alexxhost.ru
  • как раз выдан на сайт с таким же доменным именем как и наша почта
  • как раз выдан на сайт с таким же доменным именем как и наша почта


    Ну тогда можно конечно попробовать...

    Импортируйте его в контейнер Personal локального компьютера, потом Get-ExchangeSertificate - копируете Thumbprint - далее Enable-ExchangeSertificate -Thumbprint <...> -Services POP,IMAP,SMTP,IIS


    http://alexxhost.ru
  • если имя подходит то без проблем, для exchange делается такой же сертификат что и для сайтов (по сути других то для серверов и не выпускают :))

    • Помечено в качестве ответа Yuriy Lenchenkov 13 мая 2011 г. 11:17
  • Коллеги, вопрос вдогонку - на практике, wildcard прикручивали? кроме старых виндовсмобайлов - до 5 включительно, которые не понимают wildcard - ещё что-то может вылезти?

  • Ничего, если он у меня с разрешением pfx. Извиняюсь но плохо разбираюсь в сертификатах
  • pfx - это контейнер в котором есть сертификат с закрытым и открытым ключами + он обычно запаролен. Установив его в систему вы легко сможете вытащить сертификат с открытым ключом - cer-файл, просто сделав экспорт сертификата в консоли MMC.


    http://alexxhost.ru
  • как раз выдан на сайт с таким же доменным именем как и наша почта


    Ну тогда можно конечно попробовать...

    Импортируйте его в контейнер Personal локального компьютера, потом Get-ExchangeSertificate - копируете Thumbprint - далее Enable-ExchangeSertificate -Thumbprint <...> -Services POP,IMAP,SMTP,IIS


    http://alexxhost.ru

    Получилось, но правда сертификат в консоле Exchange отображается с красным крестиком и комментарий, что этот сертификат не допустим для использования с Exchange.
  • И еще один вопрос, можно ли через групповую политику установить сертификат?
  • >...этот сертификат не допустим для использования с Exchange

    Наверняка он также где-нить говорит почему именно недопустим ;)

    >можно ли через групповую политику установить сертификат?

    Да, можно тут Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\ напирмер в контейнер Trusted Root Certificate Authorities


    http://alexxhost.ru
  • как раз выдан на сайт с таким же доменным именем как и наша почта


    Ну тогда можно конечно попробовать...

    Импортируйте его в контейнер Personal локального компьютера, потом Get-ExchangeSertificate - копируете Thumbprint - далее Enable-ExchangeSertificate -Thumbprint <...> -Services POP,IMAP,SMTP,IIS


    http://alexxhost.ru

    Получилось, но правда сертификат в консоле Exchange отображается с красным крестиком и комментарий, что этот сертификат не допустим для использования с Exchange.

    Не на ошибку ли при проверке списка отзыва ругается? Если так, то скорее всего это объясняется отсутствием сертификата корневого ЦС в доверенных корневых машины либо не опубликованы или попросту недоступны точки распространения списков отзыва сертификатов.
  • И еще один вопрос, можно ли через групповую политику установить сертификат?

    А можно поинтересоваться  зачем это вам в вашей ситуации?
  • потому что у меня внутренний домен отличается в названии от внешнего и когда установлю этот сертификат как основной, у пользователей начнут появляться запросы на подтверждение сертификата, т.к. он выдан на внешнее имя.
  • спасибо за подсказку. сделал как вы сказали, теперь все ок
  • потому что у меня внутренний домен отличается в названии от внешнего и когда установлю этот сертификат как основной, у пользователей начнут появляться запросы на подтверждение сертификата, т.к. он выдан на внешнее имя.

    Для этого есть "многоименные" сертификаты.
  • которые стоят в 2 раза дороже
  • которые стоят в 2 раза дороже

    Которые можно изваять самому с помощью собственного корпоративного ЦС бесплатно. Предупреждения при использовании такого сертификата "недоменными" пользователями не так страшны. Да и добавить сертификат в дов корневые очень просто.
  • Для установки сертификата, его можно установить на домен контроллеры...и они автоматически будут доверенными во всем домене....т.е. кому доверяет домен контроллер, тому доверяет домен.


    MCSA, MCITP-Enterprise Administrator
  • Для установки сертификата, его можно установить на домен контроллеры...и они автоматически будут доверенными во всем домене....т.е. кому доверяет домен контроллер, тому доверяет домен.


    MCSA, MCITP-Enterprise Administrator

    Это вот у вас откуда такая информация? Можно ссылку на стаью?
    http://alexxhost.ru
  • Для установки сертификата, его можно установить на домен контроллеры...и они автоматически будут доверенными во всем домене....т.е. кому доверяет домен контроллер, тому доверяет домен.


    MCSA, MCITP-Enterprise Administrator

    Компьютеры домена будут доверять сертификату доменного ЦС, поскольку он будет помещен в доверенные корневые сертификаты доменных машин. Но не более.
  • Для установки сертификата, его можно установить на домен контроллеры...и они автоматически будут доверенными во всем домене....т.е. кому доверяет домен контроллер, тому доверяет домен.


    MCSA, MCITP-Enterprise Administrator

    наверно имелось в виду, что можно распространить корневой сертификат какого-либо непубличного ЦС по доменным машинам через групповую политику
  • Сейчас вот столкнулся с проблемой, опять мой сертификат стал "недопустим для использования с Exchange сервером" и горит красным крестом
  • Сейчас вот столкнулся с проблемой, опять мой сертификат стал "недопустим для использования с Exchange сервером" и горит красным крестом

    Чудес не бывает. См. то что я писал Вам выше.
  • либо не опубликованы или попросту недоступны точки распространения списков отзыва сертификатов.

     

    Вот это я плохо понимаю что такое ;)

  • Сейчас вот столкнулся с проблемой, опять мой сертификат стал "недопустим для использования с Exchange сервером" и горит красным крестом


    Что значит "опять"? Что изменилось с того момента, как он был допустимым?

    Списки отзыва, скорее всего, у вас по дефолту находятся в АД, так что недоступны он врятли могут быть. ИМХО, тут 4 варианта:

    1. Нужного имени домена нет в сертификате

    2. Вы удалили из контейнера Доверенные корневые центры на сервере Exch`a сертификат вашего корневого СА

    3. Вы на СА руками отозвали сертификат Exch`a

    4. Истек срок действия сертификата


    http://alexxhost.ru
  • 1) Есть, но это внешнее имя почты, у внутреннего домена имя отличается от того на которое выдан сертификат

    2) Удалял, но позже всё добавил назад

    3) У меня публичный сертификат от коммерческого CA, я ничего не отзывал

    4) годен до 07.2012

  • Если открыть сертификат (можно прямо из графической консоли Exchange), то там должно быть написано в чем проблема.


    http://alexxhost.ru
  • Взгляните http://www.photoshare.ru/original/photoshare.ru-7244566.jpg
  • Взгляните http://www.photoshare.ru/original/photoshare.ru-7244566.jpg

    посмотрите это

    http://exchangeserverpro.com/exchange-server-2010-certificate-invalid-for-exchange-server-usage-error

    это для внутреннего СА, может будет полезно

  • либо не опубликованы или попросту недоступны точки распространения списков отзыва сертификатов.

     

    Вот это я плохо понимаю что такое ;)


    А что тут понимать? Открывайте св-ва сертификата. Вкладка "Состав" Поле "Точки распространения списка отзыва (CRL)"
  • Списки отзыва, скорее всего, у вас по дефолту находятся в АД, так что недоступны он врятли могут быть. ИМХО, тут 4 варианта:
    Это справедливо для ЦС домена в пределах локальной сети. Коммерческий ЦС должен иметь точки распространения через http.
  • >Это справедливо для ЦС домена в пределах локальной сети...

    "У ВАС" и "ПО ДЕФОЛТУ" - ключевые слова в моей фразе! До этого поста небыло информации о том, что используется коммерческий сертификат.

    PS CRL и AIA, http-шные должны быть и на доменном СА, если все грамотно делать.


    http://alexxhost.ru
  • >Это справедливо для ЦС домена в пределах локальной сети...

    "У ВАС" и "ПО ДЕФОЛТУ" - ключевые слова в моей фразе! До этого поста небыло информации о том, что используется коммерческий сертификат.

    PS CRL и AIA, http-шные должны быть и на доменном СА, если все грамотно делать.

    Согласен. Просто у самого когда-то была ошибка подобная автору темы
  • Да действительно коммерческий сертификат. Вы хотите сказать нужно этот сертификат добавить в мой корпоративный СА?

     

  • Да действительно коммерческий сертификат. Вы хотите сказать нужно этот сертификат добавить в мой корпоративный СА? 


    Нет, ни в коем случае... да у вас это и не получится :)

    Вы посмотрите через консоль ММС - Сервтификаты - локальный компьютер - Доверенные корневые ... - есть ли там сертификат той организации, где вы покупали себе сертификата. (кстати, как её зовут?)


    http://alexxhost.ru
  • Есть. comodo
  • Значит проблема не в этом.

    Посмотрите в Event Log`и винды (Application и System), может там что интересное есть?


    http://alexxhost.ru
  • Значит проблема не в этом.

    Посмотрите в Event Log`и винды (Application и System), может там что интересное есть?


    http://alexxhost.ru
    Один вопрос к вам, не знаете, как настроить outlook, чтобы он принимал любые сертификаты без запросов?