Requisitos de certificado SSL do Exchange 2010 para vários domínios

Navegue suas respostas
3

Eu li este , e ainda não estou 100% sobre isso.

Se o nosso servidor Exchange estiver hospedando emails para vários domínios autoritativos, preciso de nomes SAN correspondentes no certificado SSL para cada um deles?

Em nossa configuração, o domínio do AD é company.local, o domínio de e-mail da maioria das pessoas é company.com, mas também temos algumas pessoas que possuem endereços de e-mail @ othercompany.com.

Então, quando eu compro o certificado SSL, presumo que precisaria:

  • mail.company.com
  • autodiscover.company.com
  • legacy.company.com
  • mail.othercompany.com
  • autodiscover.othercompany.com
  • legacy.othercompany.com

Está certo?

    
por ThatGraemeGuy 03.05.2011 / 10:10

2 respostas

3

Além dos nomes de servidor e FQDN internos necessários, você só precisa dos domínios em seu certificado de que precisa para acessar com segurança seu servidor (OWA ou ActiveSync, por exemplo). Seu servidor Exchange pode aceitar emails para qualquer número de outros domínios, mas se você acessar apenas o OWA em mail.acme-widgets.com , esse é o único nome DNS externo que precisa estar no certificado.

Como exemplo, nosso servidor do Exchange aceita e-mail para cerca de 30 domínios, mas só temos as seguintes informações em nosso certificado (com o perdão de todo o conteúdo do Acme Widgets, mas você tem a idéia). 

svr03                               (Internal server name)
mail.acme-widgets.com               (OWA domain)
autodiscover.corp.acme-widgets.com  (AutoDiscover internal FQDN)
autodiscover.acme-widgets.com       (AutoDiscover external FQDN)
legacy.acme-widgets.com             (Legacy domain)
svr03.corp.acme-widgets.com         (Internal FQDN)

Se bem me lembro, quando estava passando pelo assistente de certificado do Exchange, incluiu todos os nossos domínios auxiliares, mas optei por removê-los. Não deve doer deixá-los, e se o assistente de certificado os incluir por padrão, certamente não é errado deixá-los.

    
por 03.05.2011 / 15:00
1

Na verdade, se você reconfigurar seu Exchange corretamente, poderá usar apenas um domínio / certificado (por exemplo, mail.company.com) para acesso interno e externo. No entanto, sua configuração owa / outlook sempre terá que apontar para esse nome de domínio escolhido. Este é o cenário mais simples / mais barato.
Esse link pode ajudá-lo a configurar o Exchange 2010 para usar apenas um domínio para tudo. Caso contrário, se você quiser continuar usando nomes de domínio diferentes para pessoas diferentes, será necessário usar o certificado SAN. Isso pode ser uma solução cara.

Uma solução de domínio para tudo (acesso interno / externo) pode ser ainda mais barata usando certificados totalmente gratuitos de StartSsl para 1 ano (prorrogado todos os anos gratuitamente). Se o nome geral da empresa mail.company.com for um problema muito grande (isso pode ser um problema se seus funcionários não se sentirem bem acessando mail.microsoft.com enquanto são da IBM e vice-versa - embora eu duvide que isso seja um problema em sua caso) você sempre pode comprar algum nome de domínio não relacionado ao nome da empresa como mailserver.com ou algo semelhante e usar isso. Então, nem os funcionários da empresa legada nem a nova empresa vão reclamar.

    
por 03.05.2011 / 15:54

Tags

Os pedidos http e https devem acessar os mesmos arquivos Configure o Zeroconf para transmitir vários nomes