Wildcard-SSL-Zertifikate mit Exchange 2010?

Question 1

Soweit ich das bisher gesehen habe, bereiten Zertifikate und Exchange 2010 Kopfschmerzen.

Wir haben derzeit 2010 im Labor und glauben, dass wir mit einem Wildcard-SSL-Zertifikat für den Gerätezugriff über das Internet und dann mit einem von der Enterprise-Zertifizierungsstelle signierten Maschinenzertifikat (ausgestellt von ADCS) für jeden 2010-Server für den internen Zugriff auskommen.

Wir verwenden TMG 2010 als Edge-Transport-Server, daher befindet sich das SSL-Zertifikat dort. Die Verbindung zwischen TMG und Ex2010 CAS befindet sich dann innerhalb der Domäne und ist somit durch die Enterprise CA gesichert.

Habe das erst heute Morgen zum Laufen gebracht, aber ich denke, das wird klappen. Wenn Ihr CAS Verbindungen aus dem Internet verarbeitet, dann können Sie das beurteilen. Ich werde diese Frage aber im Auge behalten!

Answer

Soweit ich das bisher gesehen habe, bereiten Zertifikate und Exchange 2010 Kopfschmerzen.

Wir haben derzeit 2010 im Labor und glauben, dass wir mit einem Wildcard-SSL-Zertifikat für den Gerätezugriff über das Internet und dann mit einem von der Enterprise-Zertifizierungsstelle signierten Maschinenzertifikat (ausgestellt von ADCS) für jeden 2010-Server für den internen Zugriff auskommen.

Wir verwenden TMG 2010 als Edge-Transport-Server, daher befindet sich das SSL-Zertifikat dort. Die Verbindung zwischen TMG und Ex2010 CAS befindet sich dann innerhalb der Domäne und ist somit durch die Enterprise CA gesichert.

Habe das erst heute Morgen zum Laufen gebracht, aber ich denke, das wird klappen. Wenn Ihr CAS Verbindungen aus dem Internet verarbeitet, dann können Sie das beurteilen. Ich werde diese Frage aber im Auge behalten!

Question 2

Platzhalter und UC-Zertifikate sollten zwei verschiedene Dinge erreichen. Wenn Sie mehrere Domänen haben und einen Exchange-Server verwenden, sind UC-Zertifikate die beste Lösung. Wenn Sie nur unterschiedliche Subdomänen haben, funktionieren Platzhalter, aber das ist die Ausnahme. Die meisten unserer Kunden bei ssl.com haben eine Reihe von Domänennamen, darunter auch interne Servernamen, daher werden am häufigsten UC- (oder SANS-)Zertifikate gewählt. Beachten Sie auch, dass Sie Platzhalter in UCC einbetten können, wenn Sie die Flexibilität beider benötigen.

Was den Wert der einzelnen Typen angeht, muss jeder Kunde das für sich selbst ableiten. Während ein Kunde es für eine Abzocke hält, stellt ein anderer vielleicht fest, dass es unzählige Stunden an SSL-Verwaltungszeit spart. Sie entscheiden.

Answer

Platzhalter und UC-Zertifikate sollten zwei verschiedene Dinge erreichen. Wenn Sie mehrere Domänen haben und einen Exchange-Server verwenden, sind UC-Zertifikate die beste Lösung. Wenn Sie nur unterschiedliche Subdomänen haben, funktionieren Platzhalter, aber das ist die Ausnahme. Die meisten unserer Kunden bei ssl.com haben eine Reihe von Domänennamen, darunter auch interne Servernamen, daher werden am häufigsten UC- (oder SANS-)Zertifikate gewählt. Beachten Sie auch, dass Sie Platzhalter in UCC einbetten können, wenn Sie die Flexibilität beider benötigen.

Was den Wert der einzelnen Typen angeht, muss jeder Kunde das für sich selbst ableiten. Während ein Kunde es für eine Abzocke hält, stellt ein anderer vielleicht fest, dass es unzählige Stunden an SSL-Verwaltungszeit spart. Sie entscheiden.

Question 3

Das einzige echte Problem, das wir bisher hatten, betrifft bestimmte Outlook-Clients. Wir mussten im Grunde eine Einstellung hinzufügen, um das Zertifikat anzugeben, und es hat funktioniert:

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

Es scheint, dass die automatische Erkennung den Zertifikatsnamen auf blah.domain.com setzt und Outlook sich beschwert, da es nicht mit *.domain.com übereinstimmt. Wenn Sie das Obige im Outlook-Client manuell festlegen, wird es ausgeführt. Hinweis: Wir haben unsere Migration von Exch 2003 noch nicht abgeschlossen, daher könnten weitere Probleme auftreten. Dies ist jedoch bisher das einzige.

Answer

Das einzige echte Problem, das wir bisher hatten, betrifft bestimmte Outlook-Clients. Wir mussten im Grunde eine Einstellung hinzufügen, um das Zertifikat anzugeben, und es hat funktioniert:

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

Es scheint, dass die automatische Erkennung den Zertifikatsnamen auf blah.domain.com setzt und Outlook sich beschwert, da es nicht mit *.domain.com übereinstimmt. Wenn Sie das Obige im Outlook-Client manuell festlegen, wird es ausgeführt. Hinweis: Wir haben unsere Migration von Exch 2003 noch nicht abgeschlossen, daher könnten weitere Probleme auftreten. Dies ist jedoch bisher das einzige.