有人在 Exchange 2010 中使用萬用字元憑證嗎?
我們目前擁有一堆單獨的whatever.domain.com SSL 證書,並且由於其中一些證書即將到期,因此這是遷移到通配符證書的理想機會。
但在某些時候,我們將從 Exchange 2003 遷移到 Exchange 2010,並且我讀過關於通配符憑證是否適用於 Exchange 2010 的相互矛盾的報告,因為許多指南似乎推薦 UCC/SAN 憑證。
我們的內部 DNS 網域名稱與我們的外部網域名稱相同。
Godaddy 看起來很棒的 VFM,因為它們允許在無限的實體伺服器上使用。
提前致謝。
答案1
從目前為止我所看到的來看,Certs and Exchange 2010 是一個令人頭痛的問題。
我們現在實驗室裡有 2010,我們認為我們將能夠使用通配符 SSL 憑證來從網路存取設備,然後為每台 2010 伺服器提供企業 CA 簽署的機器憑證(由 ADCS 頒發)以進行內部存取。
我們使用 TMG 2010 作為邊緣傳輸伺服器,因此 SSL 憑證將位於該伺服器上,然後 TMG 和 Ex2010 CAS 之間的連線將位於網域內部,因此由企業 CA 保護。
今天早上才開始工作,但我認為這會起作用。如果您的 CAS 正在處理來自互聯網的連接,那麼 ymmv。不過我會看這個問題!
答案2
通配符和 UC 證書旨在完成兩件不同的事情。如果您有多個網域並且正在使用 Exchange 伺服器,那麼 UC 憑證是最佳選擇。如果您只有不同的子網域,則通配符將起作用,但這是例外。 ssl.com 的大多數客戶都有多個域名,包括內部伺服器名稱,因此 uc(或 SANS)憑證是最常選擇的域名。另請注意,如果您需要兩者的靈活性,則可以在 ucc 中嵌入通配符。
至於每種類型的價值,必須由每位客戶自己獲得。一個客戶可能認為這是一種詐騙,而另一個客戶可能會發現它節省了無數小時的 ssl 管理時間。你決定。
答案3
到目前為止,我們遇到的唯一真正問題是某些 Outlook 用戶端。我們基本上必須添加一個設定來指定證書並且它起作用了:
http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx
自動發現似乎會將憑證名稱設為 blah.domain.com,而 Outlook 會抱怨,因為它與 *.domain.com 不符。如果您在 Outlook 用戶端中手動設定上述內容,則可以完成。注意 - 我們尚未完成從 Exch 2003 的遷移,因此我們可能會遇到更多問題。但這是迄今為止唯一的一個。