¿Certificados SSL comodín con Exchange 2010?

Question 1

Los certificados y el intercambio de 2010 son un dolor de cabeza por lo que he visto hasta ahora.

Tenemos 2010 en el laboratorio en este momento y creemos que podremos salirnos con la nuestra con un certificado SSL comodín para el acceso del dispositivo desde Internet, y luego un certificado de máquina firmado por Enterprise CA (emitido por ADCS), para cada servidor 2010 para acceso interno. .

Estamos utilizando TMG 2010 como servidor de transporte perimetral, por lo que el certificado SSL permanecerá allí, luego la conexión entre TMG y Ex2010 CAS estará dentro del dominio, por lo que estará protegida por Enterprise CA.

Esto recién funcionó esta mañana, pero creo que funcionará. Si su CAS maneja conexiones desde Internet, entonces ymmv. ¡Estaré atento a esta pregunta!

Answer

Los certificados y el intercambio de 2010 son un dolor de cabeza por lo que he visto hasta ahora.

Tenemos 2010 en el laboratorio en este momento y creemos que podremos salirnos con la nuestra con un certificado SSL comodín para el acceso del dispositivo desde Internet, y luego un certificado de máquina firmado por Enterprise CA (emitido por ADCS), para cada servidor 2010 para acceso interno. .

Estamos utilizando TMG 2010 como servidor de transporte perimetral, por lo que el certificado SSL permanecerá allí, luego la conexión entre TMG y Ex2010 CAS estará dentro del dominio, por lo que estará protegida por Enterprise CA.

Esto recién funcionó esta mañana, pero creo que funcionará. Si su CAS maneja conexiones desde Internet, entonces ymmv. ¡Estaré atento a esta pregunta!

Question 2

Los comodines y el certificado UC estaban destinados a lograr dos cosas diferentes. Si tiene varios dominios y utiliza un servidor Exchange, los certificados UC son el camino a seguir. Si solo tiene subdominios diferentes, los comodines funcionarán, pero esta es la excepción. La mayoría de nuestros clientes en ssl.com tienen varios nombres de dominio, incluidos nombres de servidores internos, por lo que los certificados uc (o SANS) son los más elegidos. También tenga en cuenta que puede insertar comodines en ucc si necesita la flexibilidad de ambos.

En cuanto al valor de cada tipo, cada cliente debe obtenerlo por sí mismo. Mientras que un cliente puede pensar que es una estafa, otro puede descubrir que le ahorra innumerables horas en tiempo de gestión de SSL. Tú decides.

Answer

Los comodines y el certificado UC estaban destinados a lograr dos cosas diferentes. Si tiene varios dominios y utiliza un servidor Exchange, los certificados UC son el camino a seguir. Si solo tiene subdominios diferentes, los comodines funcionarán, pero esta es la excepción. La mayoría de nuestros clientes en ssl.com tienen varios nombres de dominio, incluidos nombres de servidores internos, por lo que los certificados uc (o SANS) son los más elegidos. También tenga en cuenta que puede insertar comodines en ucc si necesita la flexibilidad de ambos.

En cuanto al valor de cada tipo, cada cliente debe obtenerlo por sí mismo. Mientras que un cliente puede pensar que es una estafa, otro puede descubrir que le ahorra innumerables horas en tiempo de gestión de SSL. Tú decides.

Question 3

El único problema real que hemos tenido hasta ahora es con ciertos clientes de Outlook. Básicamente tuvimos que agregar una configuración para especificar el certificado y funcionó:

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

Parece que la detección automática establecería el nombre del certificado en blah.domain.com y Outlook se queja porque no coincide con *.domain.com. Si configura lo anterior en el cliente Outlook manualmente, se realizará. Nota: aún no hemos completado nuestra migración desde Exch 2003, por lo que es posible que tengamos más problemas. Aunque este es el único hasta ahora.

Answer

El único problema real que hemos tenido hasta ahora es con ciertos clientes de Outlook. Básicamente tuvimos que agregar una configuración para especificar el certificado y funcionó:

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

Parece que la detección automática establecería el nombre del certificado en blah.domain.com y Outlook se queja porque no coincide con *.domain.com. Si configura lo anterior en el cliente Outlook manualmente, se realizará. Nota: aún no hemos completado nuestra migración desde Exch 2003, por lo que es posible que tengamos más problemas. Aunque este es el único hasta ahora.