Exchange e certificados SSL autoassinados

2

Estou tentando substituir um certificado SSL autoassinado expirado no meu servidor Exchange. Eu criei um novo certificado com selfssl, mas quando tento adicionar uma nova pasta pública, recebo um erro dizendo que "o nome do servidor de certificado ssl está incorreto".

Eu suspeito que a razão para isso é que o FQDN público do meu servidor e seu nome interno não são os mesmos (obviamente), então quando eu estou gerenciando o servidor localmente recebo esse erro. Para ser específico, recebo esse erro quando tento adicionar uma nova pasta pública do próprio servidor (via área de trabalho remota). Os clientes na minha LAN podem acessar o OWA no servidor muito bem (além do meu navegador me avisando que o certificado é autoassinado, o que é esperado). Na minha LAN, meu FQDN público resolve corretamente o endereço IP da LAN interna da máquina.

O certificado anterior tinha uma lista de 5 ou mais nomes (localhost, mail.mydomain.com, mail.mydomain.local, mail, etc.) no campo "issuer". Minha pergunta pode ser resolvida fornecendo-me uma das duas informações:

  1. Como eu crio um certificado com mais de um valor CN? A solução óbvia de passar mais de um para selfssl parece não funcionar. Eu não vou ser convencido a comprar um certificado de UC porque "bem, o Exchange exige essa coisa estranha, apenas compre e tudo ficará bem". Deve ser possível assinar um certificado que funcione para isso usando o OpenSSL ou etc.

  2. Parece muito estranho para mim que eu precise de um certificado com algo diferente do meu FQDN. Existe alguma maneira de fazer o Exchange se comportar de uma maneira sã, sem precisar de um certificado com SAN? Esta é de longe a minha solução preferida.

Este servidor está executando o Small Business Server 2003 e o Exchange Server 2003 SP2.

    
por CmdrMoozy 27.06.2013 / 19:50

1 resposta

1

Se você quiser um certificado com mais de um nome, precisará adquirir um certificado que suporte nomes alternativos de assunto. Eu comprei um hoje por pouco mais de £ 55. Não é um dos certificados mais strongs que você pode comprar, mas para uma pequena empresa com apenas funcionários internos usando o sistema, eles estão bem e anularão todos os erros de certificado.

Se você hospedar um DNS externo com um ISP e (obviamente) hospedar seu DNS interno em sua rede, será muito fácil contornar isso e você não precisará de um certificado com SANs. Observe que isso não se aplica a versões do Exchange após 2003, portanto, a compra de um certificado é sua única opção.

Por exemplo, se seu servidor Exchange for externamente exchange.example.com , mas você usar outro nome interno (por exemplo, exchange.example.local ou exchange.internal.example.com ), tudo o que você precisa fazer é criar uma nova zona de pesquisa direta DNS para exchange.example.com em seu DNS interno e adicione um registro '@' padrão à zona, que aponta para seu servidor Exchange.

As pesquisas internas de exchange.example.com serão resolvidas para o seu IP interno, enquanto as consultas realizadas fora da sua rede serão resolvidas para o seu endereço IP externo.

    
por 27.06.2013 / 21:34