none
UCC сертификат на 5 имен RRS feed

  • Вопрос

  • помогите разобраться.
    сколько поддоменов нужно использовать для правильной работы
    autodiscover и anywhere
    есть:
    домен rumsks001.domain.ru
    exhange server - mail.domain.ru


    mail.domain.ru
    autodiscover.domain.ru

    достаточно?
    или нужно

    mail.domain.ru
    autodiscover.domain.ru
    owa.domain.ru
    rumsks001.domain.ru
    domain.ru

    p.s.

    обязательно делать запрос на создание сертификата? или можно прикрутить уже готовый?

    правильно ли я понимаю, что сертификат нужно импортировать в сам exhange в консоле и в IIS (для OWA)
    • Перемещено Hengzhe Li 12 марта 2012 г. 10:56 forum merge (От:Exchange Server 2007)
    16 октября 2008 г. 11:29

Ответы

  • Сам недавно мучился с сертфикатами.

     

    Чтобы корректно работали все сервисы CAS и HT в сертификате должны быть:

     

    mail.domain.ru

    mail
    autodiscover.domain.ru
    owa.domain.ru (если алиас OWA присутствует в DNS)

    всё это при условии что exchange один - mail.domain.ru

     

    Запрос делать обязательно иначе не представится возможности добавить дополнительные DNS имена. Запрос надо сохранить в текстовом файле (ну или req-файле, который потом открыть текстовым редактором). Из файла запроса скопировать код. Через Web-сонсоль зайти на CA и запросить сертификат по шаблону Web-server вставив код запроса. Скачать сертификат. Импортировать его. Потом включить CMDLet'ом Enable-ExchangeCertificate -Thumbprint <код отпечатка> -Services "SMTP, IIS, POP, IMAP"

    17 октября 2008 г. 9:28

Все ответы

  • Приведите пожалуйста следующую информацию:

    1. FQDN сервера в локальной сети

    2. FQDN сервера, на котором опубликован ресурс (естественно внешнее)

    16 октября 2008 г. 16:04
    Модератор
  • он одинаков, mail.domain.ru
    17 октября 2008 г. 8:56
  • Сам недавно мучился с сертфикатами.

     

    Чтобы корректно работали все сервисы CAS и HT в сертификате должны быть:

     

    mail.domain.ru

    mail
    autodiscover.domain.ru
    owa.domain.ru (если алиас OWA присутствует в DNS)

    всё это при условии что exchange один - mail.domain.ru

     

    Запрос делать обязательно иначе не представится возможности добавить дополнительные DNS имена. Запрос надо сохранить в текстовом файле (ну или req-файле, который потом открыть текстовым редактором). Из файла запроса скопировать код. Через Web-сонсоль зайти на CA и запросить сертификат по шаблону Web-server вставив код запроса. Скачать сертификат. Импортировать его. Потом включить CMDLet'ом Enable-ExchangeCertificate -Thumbprint <код отпечатка> -Services "SMTP, IIS, POP, IMAP"

    17 октября 2008 г. 9:28
  • Спасибо. Web-сонсоль имеется в виду на сайте COMODO или чья?

    у меня своего центра сертификации не планируется.

    з.ы.

    напиши мне на емейл плиз., немного тебя помучаю l a g b e a s t @ m a i l . r u

    17 октября 2008 г. 11:03
  • Всё вышеописаное я проделывал имея собственный центр сертификации. А что мешает его развернуть? Я к сожалению не знаю как пользоваться сторонними центрами.

    Но... только что посмотрел на сайте COMODO: при запросе сертификата там тоже нужно вставить этот же код для генерирования сертификата.
    17 октября 2008 г. 11:48
  • мешает то, что свой центр, не входит в список доверенных центров сертификации для браузеров )
    и вообще хочется, что небыло уже никаких проблем с авторизацией из-за сертов..


    з..ы.

    напиши на емейл плиз.
    20 октября 2008 г. 6:44
  • 1) self-signed сертификат - те же проблемы у тебя, только вид с боку, в добавок селф выдается всего на год, т.е. каждый год тебе будет нужно его перегенерировать и импортировать.

    2) купить сертификат у одного из доверенны центров сертификации - минуса всего два: дороговато и нужно обновлять раз в год или два

    3) запустить свой центр сертификации, и через груп-полиси распространить его на все машины и сервера в домене - минус только один: на машинах не входящих в домен, нужно будет ручками воткнуть сертификат в список доверенных.

     

    Мы для себя выбрали третий путь, теперь и IPSec с цербером подписываем заодно в придачу к Exchange Wink

    25 октября 2008 г. 11:31
  • А можно поподробней про 3 путь? Вы в собственном СА использовали сертификат "доверенный"? Он был UCC или SAN? Для запуска каких служб использовали? Буквально в пяти словах, если не трудно ...

    8 апреля 2009 г. 8:02
  • делайте свой центр и выписывайте через PS сертификат. так дешевле.
    mail. domain.ru
    autodiscover. domain.ru
    owa .domain.ru
    rumsks001. domain.ru
    domain.ru

    если у вас еще есть, к примеру, имя
    umsks001.local
    то дополнительно
    umsks001   и  umsks001.local
    иначе будет множество проблем

    вариант проще, но дороже:
    можете выписать через СОМОДО, есть спец предложение "сертификат для почтового сервера", покупать нужно именно его. он сождержит несколько (по моему до 5 имен). стоит около 10-15т руб в год.

    я выписывал на своем сервере, потом сертификат сервера добавлял в список доверенных центров сертификации (единственная проблема с самоподписанным).
    работает не хуже СОМОДО.
    9 апреля 2009 г. 17:16