none
Exchange 2013 WildCard Certificate RRS feed

  • Вопрос

  • Имеется следующая структура:
    2 сервера Exchange 2013 SP1 (роли Client Access, Mailbox)
    2 сервера Edge

    Публикация во вне настроена через ISA2006.
    Внутреннее имя и внешнее различается.

    Вопрос собственно в сертификатах, имеется коммерческий Wildcard сертификат выпущенный на внешнее имя добавлен в ISA и импортирован на сервера Exchange 2013 без привязки к сервисам Exchange.

    Также выпущен сертификат на внутреннем CA на внутренее имя и привязан к сервисам Exchange IIS,POP,SMTP,IMAP.

    Проблема заключается в следующем время от времени внутренние клиенты подключаются через внешний сертификат, предупреждение следующего вида:
    Имя сертификата безопасности недопустимо или не соответствует имени сайта.

    У некоторых клиентов до бесконечности запрашивает ввод пароля.

    Подскажите как правильно выполнить настройку с wildcard сертификатом.

    Заранее спасибо.

    25 февраля 2016 г. 5:48

Ответы

  • Если ISA в домене, то сертификат вашего CA должен политикой установиться в хранилище доверенных корневых центров сертификации. Таким образом при транслировании клиентского запроса (от внешнего пользователя) Exchange будет доверять ISA и нормально принимать запрос. В случае же если использовать ISA как балансировщик, то да, надо привязать сертификат Exchange к вновь создаваемому листнеру (на внутреннем интерфейсе ISA).

    Wildcard кроме как на ISA точно больше не нужен в ваших условиях.


    Do not multiply entities beyond what is necessary

    26 февраля 2016 г. 5:06
  • В таком случае все будет работать. Без коммерческого сертификата на серверах Exchange.

    Еще уточнение: в свойствах браузера указан прокси? Если да, то имеются ли требуемые исключения (обходи прокси для локальных адресов)?

    По ClientAccessServer порекомендовал бы следующее:

    Get-ClientAccessServer | Set-ClientAccessServer https://внутренееимя.sld.bank/Autodiscover/Autodiscover.xml и, кстати, с помощью ISA можно поднять нормальную (не DNS) балансировку клиентского доступа.


    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа Elena Bazareva 1 марта 2016 г. 11:12
    25 февраля 2016 г. 10:27
  • выпущенный для Exchange внутренний SAN сертификат автоматически привязывается к сайту IIS при выполнении Enable-ExchangeCertificate  (либо при привязке сертификата к сервисам через EAC).

    В некоторых случаях необходимо убедиться, что к сайту Exchange Back End также привязан сертификат, как правило это самоподписанный сертификат Exchange, выпущенный при развертывании сервера.

    запись A или CNAME для Autodiscover во внутренней зоне DNS лучше завести. Хотя алгоритм поиска настроек автоконфигурации Outlook перебирает и другие варианты файла конфигурации (Autodiscover.xml).

    По части использования ISA (TMG) в качестве балансировщика, посмотрите блог

    Но если есть возможность, лучше все же поставить нормальный аппаратный (или виртуальный Appliance) балансировщик, который так же умеет выполнять функции обратного прокси.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 25 февраля 2016 г. 12:18
    • Помечено в качестве ответа Elena Bazareva 1 марта 2016 г. 11:12
    25 февраля 2016 г. 12:18

Все ответы

  • Видимо проблема с виртуальными каталогами Exchange.

    Покажите:

    Get-OutlookAnywhere | fl int*,ext*

    Get-ClientAccessServer | fl auto*

    Get-OWAVirtualDirectory | fl int*,ext*

    Коммерческий сертификат в ваших условиях не надо было импортировать на внутренние серверы Exchange.

    У каких клиентов происходит постоянный запрос пароля? (какая ОС?)


    Do not multiply entities beyond what is necessary

    25 февраля 2016 г. 6:55
  • А еще нужно создавать внешнюю зону в локальном DNS?
    25 февраля 2016 г. 9:48
  • В вашем случае внутренняя зона с именем публичной как бы не нужна. У вас балансировка клиентского доступа как организована?

    По части коммерческого сертификата - вы же через ISA публикуете Exchange? Так вот коммерческий привязывается к листнеру правила публикации. И обязательно на ISA должен быть установлен сертификат вашего внутреннего центра сертификации.

    Кстати вы выпускали внутренний сертификат для Exchange (Обычно SAN)?

    Еще, как вариант, коммерческий сертификат можно использовать для внутреннего использования, но как раз в этом случае необходима внутренняя DNS зона по имени вашего SMTP домена (solid.ru) и конфигурирование виртуальных каталогов (Internal) на использование имени к примеру, mail.solid.ru".


    Do not multiply entities beyond what is necessary

    25 февраля 2016 г. 9:55
  • Балансировка клиентского доступа у нас на уровне DNS, созданы 2 записи с общим именем на ip адрес серверов.

    Да, публикация Exchange происходит через ISA и к листнеру привязан коммерческий сертификат.

    Внутренний сертификат выпущен по шаблону Web-server.

    25 февраля 2016 г. 10:04
  • Ты сторонний сертификат в AD опубликовал?
    25 февраля 2016 г. 10:21
  • В таком случае все будет работать. Без коммерческого сертификата на серверах Exchange.

    Еще уточнение: в свойствах браузера указан прокси? Если да, то имеются ли требуемые исключения (обходи прокси для локальных адресов)?

    По ClientAccessServer порекомендовал бы следующее:

    Get-ClientAccessServer | Set-ClientAccessServer https://внутренееимя.sld.bank/Autodiscover/Autodiscover.xml и, кстати, с помощью ISA можно поднять нормальную (не DNS) балансировку клиентского доступа.


    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа Elena Bazareva 1 марта 2016 г. 11:12
    25 февраля 2016 г. 10:27
  • Dmitry, выходит коммерческий сертификат необходимо удалить с серверов Exchange полностью, а в IIS в настройках Bindings на 443 порт должен быть привязан только внутренний сертификат и такая схема должна работать? У нас почему то так не сработало.

    Внутри компании используется прокси, исключение для локальных адресов есть, но можно еще проверить.

    Еще вопрос на Autodiscover нужен в локальном DNS алиас на внутренее имя?

    А можно поподробней про балансировку клиентского доступа на уровне ISA?

    Александр под публикацией в AD что имеете в виду?

    25 февраля 2016 г. 11:49
  • выпущенный для Exchange внутренний SAN сертификат автоматически привязывается к сайту IIS при выполнении Enable-ExchangeCertificate  (либо при привязке сертификата к сервисам через EAC).

    В некоторых случаях необходимо убедиться, что к сайту Exchange Back End также привязан сертификат, как правило это самоподписанный сертификат Exchange, выпущенный при развертывании сервера.

    запись A или CNAME для Autodiscover во внутренней зоне DNS лучше завести. Хотя алгоритм поиска настроек автоконфигурации Outlook перебирает и другие варианты файла конфигурации (Autodiscover.xml).

    По части использования ISA (TMG) в качестве балансировщика, посмотрите блог

    Но если есть возможность, лучше все же поставить нормальный аппаратный (или виртуальный Appliance) балансировщик, который так же умеет выполнять функции обратного прокси.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 25 февраля 2016 г. 12:18
    • Помечено в качестве ответа Elena Bazareva 1 марта 2016 г. 11:12
    25 февраля 2016 г. 12:18
  • Dmitry, спасибо за разъяснения, будем сегодня пробывать.

    Wildcard сертификат точно нигде кроме ISA не нужен?

    25 февраля 2016 г. 12:59
  • А внутренний сертификат не нужно в ISA ни к чему привязывать, только импортировать?
    25 февраля 2016 г. 13:01
  • Если ISA в домене, то сертификат вашего CA должен политикой установиться в хранилище доверенных корневых центров сертификации. Таким образом при транслировании клиентского запроса (от внешнего пользователя) Exchange будет доверять ISA и нормально принимать запрос. В случае же если использовать ISA как балансировщик, то да, надо привязать сертификат Exchange к вновь создаваемому листнеру (на внутреннем интерфейсе ISA).

    Wildcard кроме как на ISA точно больше не нужен в ваших условиях.


    Do not multiply entities beyond what is necessary

    26 февраля 2016 г. 5:06
  • Dmitry, спасибо за помощь все получилось.
    1 марта 2016 г. 11:12