Универсальные SSL-сертификаты в Exchange 2010?

Question 1

Сертификаты и обмен 2010 — это просто головная боль, судя по тому, что я видел до сих пор.

Сейчас в нашей лаборатории есть 2010, и мы думаем, что сможем обойтись универсальным SSL-сертификатом для доступа к устройствам из Интернета, а затем машинным сертификатом, подписанным Enterprise CA (выданным ADCS), для каждого сервера 2010 для внутреннего доступа.

Мы используем TMG 2010 в качестве пограничного транспортного сервера, поэтому сертификат SSL будет находиться там, а соединение между TMG и Ex2010 CAS будет внутри домена, защищенного Enterprise CA.

Только сегодня утром это заработало, но я думаю, что это сработает. Если ваш CAS обрабатывает соединения из интернета, то ymmv. Я буду следить за этим вопросом!

Answer

Сертификаты и обмен 2010 — это просто головная боль, судя по тому, что я видел до сих пор.

Сейчас в нашей лаборатории есть 2010, и мы думаем, что сможем обойтись универсальным SSL-сертификатом для доступа к устройствам из Интернета, а затем машинным сертификатом, подписанным Enterprise CA (выданным ADCS), для каждого сервера 2010 для внутреннего доступа.

Мы используем TMG 2010 в качестве пограничного транспортного сервера, поэтому сертификат SSL будет находиться там, а соединение между TMG и Ex2010 CAS будет внутри домена, защищенного Enterprise CA.

Только сегодня утром это заработало, но я думаю, что это сработает. Если ваш CAS обрабатывает соединения из интернета, то ymmv. Я буду следить за этим вопросом!

Question 2

Wildcards и сертификат UC предназначены для выполнения двух разных задач. Если у вас несколько доменов и вы используете сервер Exchange, то сертификаты UC — это то, что вам нужно. Если у вас только разные поддомены, то wildcards будут работать, но это исключение. Большинство наших клиентов на ssl.com имеют несколько доменных имен, включая внутренние имена серверов, поэтому сертификаты uc (или SANS) являются наиболее часто используемыми. Также обратите внимание, что вы можете встроить wildcards в ucc, если вам нужна гибкость обоих.

Что касается ценности каждого типа, каждый клиент должен вывести ее для себя. Где один клиент может подумать, что это грабеж, другой может обнаружить, что это экономит бесчисленные часы времени на управление ssl. Вы решаете.

Answer

Wildcards и сертификат UC предназначены для выполнения двух разных задач. Если у вас несколько доменов и вы используете сервер Exchange, то сертификаты UC — это то, что вам нужно. Если у вас только разные поддомены, то wildcards будут работать, но это исключение. Большинство наших клиентов на ssl.com имеют несколько доменных имен, включая внутренние имена серверов, поэтому сертификаты uc (или SANS) являются наиболее часто используемыми. Также обратите внимание, что вы можете встроить wildcards в ucc, если вам нужна гибкость обоих.

Что касается ценности каждого типа, каждый клиент должен вывести ее для себя. Где один клиент может подумать, что это грабеж, другой может обнаружить, что это экономит бесчисленные часы времени на управление ssl. Вы решаете.

Question 3

Единственная реальная проблема, с которой мы столкнулись до сих пор, была с определенными клиентами Outlook. По сути, нам пришлось добавить настройку для указания сертификата, и это сработало:

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

Похоже, что autodiscover установит имя сертификата на blah.domain.com, и Outlook жалуется, так как оно не соответствует *.domain.com. Если вы установите вышеуказанное в клиенте Outlook вручную, оно пройдет. Примечание: мы еще не завершили миграцию с Exch 2003, поэтому можем столкнуться с другими проблемами. Но это пока единственная проблема.

Answer

Единственная реальная проблема, с которой мы столкнулись до сих пор, была с определенными клиентами Outlook. По сути, нам пришлось добавить настройку для указания сертификата, и это сработало:

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

Похоже, что autodiscover установит имя сертификата на blah.domain.com, и Outlook жалуется, так как оно не соответствует *.domain.com. Если вы установите вышеуказанное в клиенте Outlook вручную, оно пройдет. Примечание: мы еще не завершили миграцию с Exch 2003, поэтому можем столкнуться с другими проблемами. Но это пока единственная проблема.