Подстановочные сертификаты SSL с Exchange 2010?
Сертификаты и обменный 2010 являются головной болью от того, что я видел до сих пор.
Мы имеем 2010 в лаборатории прямо сейчас и думаем, что сможем сойти с рук подстановочный знак сертификат SSL для доступа к устройствам из Интернета, и затем Предприятие CA подписало сертификат машины (Выпущенный ADCS) для каждого сервера 2010 для внутреннего доступа.
Мы используем 2010 TMG в качестве граничного транспортного сервера, таким образом, сертификат SSL будет находиться на там, затем соединение между TMG и Ex2010 CAS будет в домене, так защищенном Предприятием Приблизительно.
Только получил эту работу этим утром, но я думаю, что это будет работать. Если Ваш CAS обрабатывает соединения из Интернета затем ymmv. Я буду наблюдать этот вопрос хотя!
-
1Первоначально я подозреваю, что у нас будет единственное поле, выполняющее роли CAS/почтового ящика, которые мы затем развернем для добавления некоторого дублирования DAG - первые годы, и я действительно не сделал большого количества Exchange 2010, планируя/роя все же, поскольку это - "небольшие вещи" как сертификаты SSL, которые, кажется, являются самыми неприятными. – flooble 18 June 2010 в 19:22
Единственная реальная проблема, которую мы имели до сих пор, с определенными клиентами Outlook. Мы в основном должны были добавить установку для определения сертификата, и он работал:
http://technet.microsoft.com/en-us/library/cc535023 (EXCHG.80) .aspx
Кажется, что автообнаруживают, определил бы имя сертификата на blah.domain.com, и Outlook жалуется, так как это не соответствует *.domain.com. При установке вышеупомянутого в клиенте Outlook вручную оно проходит. Отметьте - мы не завершили нашу миграцию еще от Exch 2003, таким образом, мы могли бы столкнуться с большим количеством проблем. Это - единственное до сих пор все же.
подстановочный сертификат SSL - обменивается 2010 - проблема POP/IMAP
Сертификаты Exchange не совпадают
Могут быть вышеупомянутые ссылки, мог бы помочь
-
1Они делают спасибо, но я еще не видел удовлетворительное объяснение точно, когда/почему Вам, возможно, понадобится специализированный сертификат UCC/SAN для Exchange 2010 по подстановочному сертификату. Это почти, кажется, много случаев, "Мы не могли заставить подстановочный знак работать, мы получили UCC/SAN, и это начало работать". – flooble 18 June 2010 в 19:21
Подстановочные знаки и сертификат UC предназначены для выполнения двух разных задач. Если у вас несколько доменов и вы используете сервер Exchange, тогда вам подойдут сертификаты UC. Если у вас есть только разные поддомены, то подстановочные знаки будут работать, но это исключение. Большинство наших клиентов на ssl.com имеют несколько доменных имен, включая имена внутренних серверов, поэтому сертификаты uc (или SANS) являются наиболее распространенными. Также обратите внимание, что вы можете встраивать подстановочные знаки в ucc, если вам нужна гибкость обоих.
Что касается значения каждого типа, каждый клиент должен получить его для себя. Если один клиент может подумать, что это подделка, другой может обнаружить, что это экономит бесчисленные часы времени управления SSL. Вы решаете.