Como o Exchange manipula certificados SSL?

Navegue suas respostas
1

Vi que posso adicionar muitos certificados no Exchange 2013. Não consigo entender como ele escolhe seu certificado porque posso definir muitos certificados para o mesmo serviço (por exemplo, SMTP).

Digamos que eu tenha um curinga SSL público para myexternaldomain.com, mas as respostas do Exchange sejam externas, mas também do nome interno, como myinternaldomani.com, como funciona? Posso usar um autosigned para curinga interna e pública para externo?

EDITAR Agora estou neste cenário: tenho um domínio local (myinternaldomani.local) e um domínio público (myexternaldomain.com). Todos os meus clientes do outlook usam [email protected] para se conectar ao Exchange. O IIS, os usuários externos e o webmail do owa usam [email protected]. Eu carreguei o certificado wildarcard para myexternaldomain.com para o serviço IIS, agora os usuários externos (Outlook ou OWA) confiam na conexão, mas todos os outlooks internos não conseguem verificar o nome do host do certificado.

    
por Tobia 28.09.2017 / 13:27

1 resposta

3

Você não pode ter vários certificados para todos os serviços. No entanto, para conectores de recebimento, ele usa uma correspondência no FQDN. Portanto, se você definir o FQDN como mail.example.com, precisará ter um certificado SSL correspondente.

O certificado gerado automaticamente e auto-assinado é adequado para o tráfego SMTP, seja interno ou externo, a menos que você tenha um remetente externo muito exigente. Então eu configuraria um conector específico. Para tráfego interno, usaria o mesmo nome de host que você faz externamente. Com o Exchange 2013, não é necessário que nenhum usuário ou serviço conheça o nome real do servidor, pois o DNS dividido é praticamente obrigatório na forma como o Exchange precisa lidar com os certificados SSL.

Não tente complicá-lo misturando e combinando - use o mesmo certificado sempre que possível para tudo.

    
por 28.09.2017 / 13:42

Tags

Monitore o aplicativo de área de trabalho do Windows usando um URL de heartbeat É errado deixar de fora o "v = DKIM1;" em um registro DKIM?