Remove From My Forums

Публичный сертификат для Exchange

Вопрос
0

Нужно войти

Добрый день! Кто сталкивался, подскажите, сколько стоит его приобрести? И какие выгодны по сравнению с использованием внутреннего из корпоративного CA?

10 мая 2011 г. 7:00

Ответить

|

Цитировать

Ответы

0

Нужно войти
>Сколько стоит...

Цены разные, все зависит от того где покупать, и от параметров самого сертификата. Посмотреть подробнее можно например тут - http://www.verisign.com/ssl/buy-ssl-certificates/index.html?tid=a_box

PS. Можно найти и дешевле, чем у VeriSign`a

>Выгоды...

Внешним клиентам не нужно устанавливать сертификат вашего корневого СА в трасты, чтобы без проблем доверять сертификату сервера. + Просто, удобно, престижно и т.п.
http://alexxhost.ru
- Помечено в качестве ответа Yuriy Lenchenkov 13 мая 2011 г. 11:17
10 мая 2011 г. 7:35

Ответить

|

Цитировать
0

Нужно войти
если имя подходит то без проблем, для exchange делается такой же сертификат что и для сайтов (по сути других то для серверов и не выпускают :))
- Помечено в качестве ответа Yuriy Lenchenkov 13 мая 2011 г. 11:17
10 мая 2011 г. 17:09

Ответить

|

Цитировать

Все ответы

0

Нужно войти
>Сколько стоит...

Цены разные, все зависит от того где покупать, и от параметров самого сертификата. Посмотреть подробнее можно например тут - http://www.verisign.com/ssl/buy-ssl-certificates/index.html?tid=a_box

PS. Можно найти и дешевле, чем у VeriSign`a

>Выгоды...

Внешним клиентам не нужно устанавливать сертификат вашего корневого СА в трасты, чтобы без проблем доверять сертификату сервера. + Просто, удобно, престижно и т.п.
http://alexxhost.ru
- Помечено в качестве ответа Yuriy Lenchenkov 13 мая 2011 г. 11:17
10 мая 2011 г. 7:35

Ответить

|

Цитировать
0

Нужно войти

400$ в год выходит. дороговато конечно. У нас есть сертификат который делался для сайта и вот не знаю, можно ли его прикрутить к эксченджю?

10 мая 2011 г. 8:26

Ответить

|

Цитировать
0

Нужно войти

400$ - это без поля SAN ;)

Вроде как можно найти и за 200-300$

>У нас есть сертификат который делался для сайта

Вся фишкав том, на какое имя сертификат выдан.
http://alexxhost.ru

10 мая 2011 г. 8:29

Ответить

|

Цитировать
0

Нужно войти

как раз выдан на сайт с таким же доменным именем как и наша почта

10 мая 2011 г. 11:06

Ответить

|

Цитировать
0

Нужно войти

как раз выдан на сайт с таким же доменным именем как и наша почта

Ну тогда можно конечно попробовать...

Импортируйте его в контейнер Personal локального компьютера, потом Get-ExchangeSertificate - копируете Thumbprint - далее Enable-ExchangeSertificate -Thumbprint <...> -Services POP,IMAP,SMTP,IIS
http://alexxhost.ru

10 мая 2011 г. 11:19

Ответить

|

Цитировать
0

Нужно войти
если имя подходит то без проблем, для exchange делается такой же сертификат что и для сайтов (по сути других то для серверов и не выпускают :))
- Помечено в качестве ответа Yuriy Lenchenkov 13 мая 2011 г. 11:17
10 мая 2011 г. 17:09

Ответить

|

Цитировать
0

Нужно войти

Коллеги, вопрос вдогонку - на практике, wildcard прикручивали? кроме старых виндовсмобайлов - до 5 включительно, которые не понимают wildcard - ещё что-то может вылезти?

11 мая 2011 г. 6:15

Ответить

|

Цитировать
0

Нужно войти

Ничего, если он у меня с разрешением pfx. Извиняюсь но плохо разбираюсь в сертификатах

11 мая 2011 г. 6:32

Ответить

|

Цитировать
0

Нужно войти

pfx - это контейнер в котором есть сертификат с закрытым и открытым ключами + он обычно запаролен. Установив его в систему вы легко сможете вытащить сертификат с открытым ключом - cer-файл, просто сделав экспорт сертификата в консоли MMC.
http://alexxhost.ru

11 мая 2011 г. 6:43

Ответить

|

Цитировать
0

Нужно войти

как раз выдан на сайт с таким же доменным именем как и наша почта

Ну тогда можно конечно попробовать...

Импортируйте его в контейнер Personal локального компьютера, потом Get-ExchangeSertificate - копируете Thumbprint - далее Enable-ExchangeSertificate -Thumbprint <...> -Services POP,IMAP,SMTP,IIS

http://alexxhost.ru

Получилось, но правда сертификат в консоле Exchange отображается с красным крестиком и комментарий, что этот сертификат не допустим для использования с Exchange.

11 мая 2011 г. 7:20

Ответить

|

Цитировать
0

Нужно войти

И еще один вопрос, можно ли через групповую политику установить сертификат?

11 мая 2011 г. 7:26

Ответить

|

Цитировать
0

Нужно войти

>...этот сертификат не допустим для использования с Exchange

Наверняка он также где-нить говорит почему именно недопустим ;)

>можно ли через групповую политику установить сертификат?

Да, можно тут Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\ напирмер в контейнер Trusted Root Certificate Authorities

http://alexxhost.ru

11 мая 2011 г. 7:31

Ответить

|

Цитировать
0

Нужно войти

как раз выдан на сайт с таким же доменным именем как и наша почта

Ну тогда можно конечно попробовать...

Импортируйте его в контейнер Personal локального компьютера, потом Get-ExchangeSertificate - копируете Thumbprint - далее Enable-ExchangeSertificate -Thumbprint <...> -Services POP,IMAP,SMTP,IIS

http://alexxhost.ru

Получилось, но правда сертификат в консоле Exchange отображается с красным крестиком и комментарий, что этот сертификат не допустим для использования с Exchange.

Не на ошибку ли при проверке списка отзыва ругается? Если так, то скорее всего это объясняется отсутствием сертификата корневого ЦС в доверенных корневых машины либо не опубликованы или попросту недоступны точки распространения списков отзыва сертификатов.

11 мая 2011 г. 8:55

Ответить

|

Цитировать
0

Нужно войти

И еще один вопрос, можно ли через групповую политику установить сертификат?

А можно поинтересоваться зачем это вам в вашей ситуации?

11 мая 2011 г. 8:58

Ответить

|

Цитировать
0

Нужно войти

потому что у меня внутренний домен отличается в названии от внешнего и когда установлю этот сертификат как основной, у пользователей начнут появляться запросы на подтверждение сертификата, т.к. он выдан на внешнее имя.

11 мая 2011 г. 10:24

Ответить

|

Цитировать
0

Нужно войти

спасибо за подсказку. сделал как вы сказали, теперь все ок

11 мая 2011 г. 10:25

Ответить

|

Цитировать
0

Нужно войти

потому что у меня внутренний домен отличается в названии от внешнего и когда установлю этот сертификат как основной, у пользователей начнут появляться запросы на подтверждение сертификата, т.к. он выдан на внешнее имя.

Для этого есть "многоименные" сертификаты.

11 мая 2011 г. 12:34

Ответить

|

Цитировать
0

Нужно войти

которые стоят в 2 раза дороже

11 мая 2011 г. 13:25

Ответить

|

Цитировать
0

Нужно войти

которые стоят в 2 раза дороже

Которые можно изваять самому с помощью собственного корпоративного ЦС бесплатно. Предупреждения при использовании такого сертификата "недоменными" пользователями не так страшны. Да и добавить сертификат в дов корневые очень просто.

12 мая 2011 г. 6:15

Ответить

|

Цитировать
0

Нужно войти

Для установки сертификата, его можно установить на домен контроллеры...и они автоматически будут доверенными во всем домене....т.е. кому доверяет домен контроллер, тому доверяет домен.
MCSA, MCITP-Enterprise Administrator

13 мая 2011 г. 9:35

Ответить

|

Цитировать
0

Нужно войти

Для установки сертификата, его можно установить на домен контроллеры...и они автоматически будут доверенными во всем домене....т.е. кому доверяет домен контроллер, тому доверяет домен.

MCSA, MCITP-Enterprise Administrator

Это вот у вас откуда такая информация? Можно ссылку на стаью?
http://alexxhost.ru

13 мая 2011 г. 9:39

Ответить

|

Цитировать
0

Нужно войти

Для установки сертификата, его можно установить на домен контроллеры...и они автоматически будут доверенными во всем домене....т.е. кому доверяет домен контроллер, тому доверяет домен.

MCSA, MCITP-Enterprise Administrator

Компьютеры домена будут доверять сертификату доменного ЦС, поскольку он будет помещен в доверенные корневые сертификаты доменных машин. Но не более.

16 мая 2011 г. 5:12

Ответить

|

Цитировать
0

Нужно войти

Для установки сертификата, его можно установить на домен контроллеры...и они автоматически будут доверенными во всем домене....т.е. кому доверяет домен контроллер, тому доверяет домен.

MCSA, MCITP-Enterprise Administrator

наверно имелось в виду, что можно распространить корневой сертификат какого-либо непубличного ЦС по доменным машинам через групповую политику

16 мая 2011 г. 6:46

Ответить

|

Цитировать
0

Нужно войти

Сейчас вот столкнулся с проблемой, опять мой сертификат стал "недопустим для использования с Exchange сервером" и горит красным крестом

17 мая 2011 г. 11:29

Ответить

|

Цитировать
0

Нужно войти

Сейчас вот столкнулся с проблемой, опять мой сертификат стал "недопустим для использования с Exchange сервером" и горит красным крестом

Чудес не бывает. См. то что я писал Вам выше.

17 мая 2011 г. 11:58

Ответить

|

Цитировать
0

Нужно войти

либо не опубликованы или попросту недоступны точки распространения списков отзыва сертификатов.

Вот это я плохо понимаю что такое ;)

17 мая 2011 г. 12:01

Ответить

|

Цитировать
0

Нужно войти

Сейчас вот столкнулся с проблемой, опять мой сертификат стал "недопустим для использования с Exchange сервером" и горит красным крестом

Что значит "опять"? Что изменилось с того момента, как он был допустимым?

Списки отзыва, скорее всего, у вас по дефолту находятся в АД, так что недоступны он врятли могут быть. ИМХО, тут 4 варианта:

1. Нужного имени домена нет в сертификате

2. Вы удалили из контейнера Доверенные корневые центры на сервере Exch`a сертификат вашего корневого СА

3. Вы на СА руками отозвали сертификат Exch`a

4. Истек срок действия сертификата
http://alexxhost.ru

18 мая 2011 г. 5:20

Ответить

|

Цитировать
0

Нужно войти

1) Есть, но это внешнее имя почты, у внутреннего домена имя отличается от того на которое выдан сертификат

2) Удалял, но позже всё добавил назад

3) У меня публичный сертификат от коммерческого CA, я ничего не отзывал

4) годен до 07.2012

18 мая 2011 г. 5:48

Ответить

|

Цитировать
0

Нужно войти

Если открыть сертификат (можно прямо из графической консоли Exchange), то там должно быть написано в чем проблема.
http://alexxhost.ru

18 мая 2011 г. 6:48

Ответить

|

Цитировать
0

Нужно войти

Взгляните http://www.photoshare.ru/original/photoshare.ru-7244566.jpg

18 мая 2011 г. 12:59

Ответить

|

Цитировать
0

Нужно войти

Взгляните http://www.photoshare.ru/original/photoshare.ru-7244566.jpg

посмотрите это

http://exchangeserverpro.com/exchange-server-2010-certificate-invalid-for-exchange-server-usage-error

это для внутреннего СА, может будет полезно

19 мая 2011 г. 11:29

Ответить

|

Цитировать
0

Нужно войти

либо не опубликованы или попросту недоступны точки распространения списков отзыва сертификатов.

Вот это я плохо понимаю что такое ;)

А что тут понимать? Открывайте св-ва сертификата. Вкладка "Состав" Поле "Точки распространения списка отзыва (CRL)"

20 мая 2011 г. 10:32

Ответить

|

Цитировать
0

Нужно войти

Списки отзыва, скорее всего, у вас по дефолту находятся в АД, так что недоступны он врятли могут быть. ИМХО, тут 4 варианта:
Это справедливо для ЦС домена в пределах локальной сети. Коммерческий ЦС должен иметь точки распространения через http.

20 мая 2011 г. 10:46

Ответить

|

Цитировать
0

Нужно войти

>Это справедливо для ЦС домена в пределах локальной сети...

"У ВАС" и "ПО ДЕФОЛТУ" - ключевые слова в моей фразе! До этого поста небыло информации о том, что используется коммерческий сертификат.

PS CRL и AIA, http-шные должны быть и на доменном СА, если все грамотно делать.
http://alexxhost.ru

20 мая 2011 г. 10:51

Ответить

|

Цитировать
0

Нужно войти

>Это справедливо для ЦС домена в пределах локальной сети...

"У ВАС" и "ПО ДЕФОЛТУ" - ключевые слова в моей фразе! До этого поста небыло информации о том, что используется коммерческий сертификат.

PS CRL и AIA, http-шные должны быть и на доменном СА, если все грамотно делать.

Согласен. Просто у самого когда-то была ошибка подобная автору темы

20 мая 2011 г. 12:42

Ответить

|

Цитировать
0

Нужно войти

Да действительно коммерческий сертификат. Вы хотите сказать нужно этот сертификат добавить в мой корпоративный СА?

23 мая 2011 г. 12:14

Ответить

|

Цитировать
0

Нужно войти

Да действительно коммерческий сертификат. Вы хотите сказать нужно этот сертификат добавить в мой корпоративный СА?

Нет, ни в коем случае... да у вас это и не получится :)

Вы посмотрите через консоль ММС - Сервтификаты - локальный компьютер - Доверенные корневые ... - есть ли там сертификат той организации, где вы покупали себе сертификата. (кстати, как её зовут?)
http://alexxhost.ru

23 мая 2011 г. 12:18

Ответить

|

Цитировать
0

Нужно войти

Есть. comodo

23 мая 2011 г. 12:30

Ответить

|

Цитировать
0

Нужно войти

Значит проблема не в этом.

Посмотрите в Event Log`и винды (Application и System), может там что интересное есть?
http://alexxhost.ru

23 мая 2011 г. 12:33

Ответить

|

Цитировать
0

Нужно войти

Значит проблема не в этом.

Посмотрите в Event Log`и винды (Application и System), может там что интересное есть?

http://alexxhost.ru
Один вопрос к вам, не знаете, как настроить outlook, чтобы он принимал любые сертификаты без запросов?

23 мая 2011 г. 12:50

Ответить

|

Цитировать

Продукты

Resources

Solutions

Обновления

Пробные версии

Сайты по теме

Обучение

Сертификация

Другие материалы и ссылки

Продукты

Другие ссылки

Не специалист по ИТ?

Лучший отвечающий

Публичный сертификат для Exchange

Вопрос

Ответы

Все ответы