Certificados SSL curinga com Exchange 2010?

Question 1

Certs e exchange 2010 são uma dor de cabeça pelo que vi até agora.

Temos 2010 no laboratório agora e achamos que seremos capazes de obter um certificado SSL curinga para acesso de dispositivos pela Internet e, em seguida, um certificado de máquina assinado por uma CA corporativa (emitido pela ADCS), para cada servidor de 2010 para acesso interno .

Estamos usando o TMG 2010 como um servidor de transporte de borda, então o certificado SSL ficará lá, então a conexão entre o TMG e o Ex2010 CAS estará dentro do domínio, portanto protegido pela Enterprise CA.

Só consegui fazer isso esta manhã, mas acho que vai funcionar. Se o seu CAS estiver lidando com conexões da Internet, então ymmv. Estarei observando esta pergunta!

Answer

Certs e exchange 2010 são uma dor de cabeça pelo que vi até agora.

Temos 2010 no laboratório agora e achamos que seremos capazes de obter um certificado SSL curinga para acesso de dispositivos pela Internet e, em seguida, um certificado de máquina assinado por uma CA corporativa (emitido pela ADCS), para cada servidor de 2010 para acesso interno .

Estamos usando o TMG 2010 como um servidor de transporte de borda, então o certificado SSL ficará lá, então a conexão entre o TMG e o Ex2010 CAS estará dentro do domínio, portanto protegido pela Enterprise CA.

Só consegui fazer isso esta manhã, mas acho que vai funcionar. Se o seu CAS estiver lidando com conexões da Internet, então ymmv. Estarei observando esta pergunta!

Question 2

Os curingas e o certificado UC foram criados para realizar duas coisas diferentes. Se você tiver vários domínios e estiver usando o servidor Exchange, os certificados UC são a melhor opção. Se você tiver apenas subdomínios diferentes, os curingas funcionarão, mas esta é a exceção. A maioria de nossos clientes em ssl.com possui vários nomes de domínio, incluindo nomes de servidores internos, portanto os certificados uc (ou SANS) são os mais comumente escolhidos. Observe também que você pode incorporar curingas no ucc se precisar da flexibilidade de ambos.

Quanto ao valor de cada tipo, cada cliente deve deduzi-lo por si mesmo. Enquanto um cliente pode pensar que é uma fraude, outro pode descobrir que isso economiza inúmeras horas em tempo de gerenciamento de SSL. Você decide.

Answer

Os curingas e o certificado UC foram criados para realizar duas coisas diferentes. Se você tiver vários domínios e estiver usando o servidor Exchange, os certificados UC são a melhor opção. Se você tiver apenas subdomínios diferentes, os curingas funcionarão, mas esta é a exceção. A maioria de nossos clientes em ssl.com possui vários nomes de domínio, incluindo nomes de servidores internos, portanto os certificados uc (ou SANS) são os mais comumente escolhidos. Observe também que você pode incorporar curingas no ucc se precisar da flexibilidade de ambos.

Quanto ao valor de cada tipo, cada cliente deve deduzi-lo por si mesmo. Enquanto um cliente pode pensar que é uma fraude, outro pode descobrir que isso economiza inúmeras horas em tempo de gerenciamento de SSL. Você decide.

Question 3

O único problema real que tivemos até agora foi com alguns clientes do Outlook. Basicamente tivemos que adicionar uma configuração para especificar o certificado e funcionou:

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

Parece que a descoberta automática definiria o nome do certificado como blah.domain.com e o Outlook reclama porque não corresponde a *.domain.com. Se você definir o procedimento acima no cliente Outlook manualmente, ele será executado. Observação: ainda não concluímos nossa migração do Exch 2003, portanto podemos ter mais problemas. Este é o único até agora.

Answer

O único problema real que tivemos até agora foi com alguns clientes do Outlook. Basicamente tivemos que adicionar uma configuração para especificar o certificado e funcionou:

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

Parece que a descoberta automática definiria o nome do certificado como blah.domain.com e o Outlook reclama porque não corresponde a *.domain.com. Se você definir o procedimento acima no cliente Outlook manualmente, ele será executado. Observação: ainda não concluímos nossa migração do Exch 2003, portanto podemos ter mais problemas. Este é o único até agora.