none
Exchange 2010 и сертификаты RRS feed

  • Вопрос

  • Всем привет.

    Дано:

    1) Контроллер домена - srv-dc.firma.local
    2) Сервер Exchange 2010 SP2 - srv-exch.firma.local (сертификат самоподписанный)
    3) Сервер TMG 2010 - srv-tmg.firma.local

    У всех пользователей внутри домена firma.local outlook настроен на сервер srv-exch.firma.local.

    Со временем приобрели сертификат для работы извне, выданный хосту mail.firma.ru. Данный сертификат был привязан для работы службы IIS.
    Службы IMAP, POP, SMTP остаются привязанными к самоподписанному сертификату.

    После привязки нового сертификата у пользователей внутри домена, пользующихся outlook'ом через сервер srv-exch.firma.local, стало появляться в процессе работы окно с ошибкой сертификата, а именно несоответствие имени сервера в сертификате. Т.к. сертификат выдан mail.firma.ru, а обращаемся мы к нему как к srv-exch.firma.local.

    Чувствую, что ошибка в понимании механизма стыковки внешней и внутренней сетей. Помогите разобраться, пожалуйста.

    5 марта 2013 г. 7:42

Ответы

  • Добрый день!

    Во внешнем сертификате у вас нет "внутреннего" имени сервера от сюда и оповещение. Почитайте тут http://itband.ru/2010/08/publishing-exch2010-1/


    не ошибается только тот кто ничего не делает

    • Помечено в качестве ответа hamele0n 5 марта 2013 г. 8:21
    5 марта 2013 г. 7:55

Все ответы

  • Добрый день!

    Во внешнем сертификате у вас нет "внутреннего" имени сервера от сюда и оповещение. Почитайте тут http://itband.ru/2010/08/publishing-exch2010-1/


    не ошибается только тот кто ничего не делает

    • Помечено в качестве ответа hamele0n 5 марта 2013 г. 8:21
    5 марта 2013 г. 7:55
  • Спасибо за ответ!

    Я эту статью изучал в процессе настройки. 
    Подскажите, как мне создать запрос на сертификат на сервере Exchange таким образом, чтобы в нем фигурировали внутреннее и внешнее имя сервера?

    5 марта 2013 г. 8:02
  • Внешнее имя сервера при публикации через TMG Вам не нужно во внутреннем сертификате.

    Логика такая. Для подключения из инета вы используете купленный сертификат. Для подключения внутри свой само-подписанный либо же выданный внутренним центром сертификации. При подключении из инета механизм (если на пальцах) выглядит следующим образом:

    1) пользователь обращается к TMG и получает внешний сертификат, которому доверяет

    2) TMG обращается к exchange с использованием внутреннего сертификата, которому также доверяет

    Для конечного пользователя это происходит прозрачно.


    не ошибается только тот кто ничего не делает

    5 марта 2013 г. 8:20
  • Спасибо, нашел.

    Будем перевыпускать сертификат.

    5 марта 2013 г. 8:21