Автор Тема: Сертификат для Exchange  (Прочитано 2465 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Сертификат для Exchange
« : 12 июля 2017, 13:29:50 »
Какие SAN должен содержать сертификат Exchange(2010)
Планирую сделать наконец то серверу внешний сертификат, не хочется ошибиться. Понятно что туда необходимо включить внутреннее и внешнее имя сервера, автодискаверы, а что ещё, записи для  pop/smtp нужны ли, и может что то ещё?
« Последнее редактирование: 13 июля 2017, 16:54:10 от Triangle »
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Понятно что туда необходимо включить внутреннее и внешнее имя сервера
А внутреннее зачем?  ???

Вообще, какая схема публикации сервисов наружу?

а что ещё, записи для  pop/smtp нужны ли
Если для них отдельные имена будут использоваться, то нужны. Если нет, то не нужны  :pardon:


Updated: 12 July 2017, 13:38:19

не хочется ошибиться
З.Ы. Потренируйся на Let's Encrypt, хоть каждые 5 минут его выписывай.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Заодно посоветуйте у кого брать, я пошел смотреть цены, мне что то кажется отечественные поставщики слишком много кушают рыбного супа,  смотрю на Digicert
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Вообще, в общем случае, делается два имени
autodiscover.domain.ru - для Autodiscover
и, например
mail.domain.ru - для всего остального.
А там уж сам решай, надо тебе отдельные еще имена или нет.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
А внутреннее зачем?
Ну если вдруг я внутри захочу подключаться по SSL
Вообще, какая схема публикации сервисов наружу?
Порт наружу вот и вся публикация. Ну да, ну через ж... зато дешево жи!
Если для них отдельные имена будут использоваться, то нужны. Если нет, то не нужны
ОК, по сути внутри для smtp я пользуюсь mail.firma.local. Просто смотрю и пытаюсь вспонить захрена я сделал в сертификате который выпускал сам имена imap.firma.ru и pop.firma.ru



Updated: 12 July 2017, 13:50:12

Let's Encrypt
А вот кстати, чем оно плохо? В отличие от платников?



Updated: 12 July 2017, 13:54:02

А вот кстати, чем оно плохо? В отличие от платников?
А, увидел



Updated: 12 July 2017, 15:13:43

И не понимаю какой тип сертификата я должен выбрать....  :dash:

https://beget.com/ru/ssl-certificates
« Последнее редактирование: 12 июля 2017, 15:13:43 от Triangle »
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Порт наружу вот и вся публикация. Ну да, ну через ж... зато дешево жи!
Просто проброс порта 443? Ну тогда да, внутренний нужен будет.
А вот кстати, чем оно плохо? В отличие от платников?
Раз в три месяца надо продлевать. Но, этот процесс можно автоматизировать. Но нужно будет несколько погеморроиться для этого :)

Плюс, конкретно для того клиента, которым я пользуюсь ( https://github.com/Lone-Coder/letsencrypt-win-simple/releases ), очень хитрая схема, особенно не автоматизируешь, нужен IIS, на нем нужно забиндить на 80-й порт все имена, которые ты выписываешь (а у тебя там уже OWA и прочее от Эксча, между прочим) и только потом запускать. Гемор, в общем.

Вроде еще был на powershell скрипт еще есть, но я его еще не смотрел, как он работает.


Updated: 12 July 2017, 15:16:12

Вот тут можно посмотреть, что там под винду:
https://letsencrypt.org/docs/client-options/

Другие тестить надо, наверно они получше.
« Последнее редактирование: 12 июля 2017, 15:22:54 от Retif »

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Сертификат для Exchange
« Ответ #6 : 13 июля 2017, 16:55:01 »
Решил не долго думая через своего же хостера, и... увидел кучу разных. https://beget.com/ru/ssl-certificates#GlobalSign, вот правильно ли я понимаю что мне вполне для этой цели подходит DomainSSL Wildcard от GlobalSign?
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Сертификат для Exchange
« Ответ #7 : 13 июля 2017, 17:35:47 »
Понятно что туда необходимо включить внутреннее и внешнее имя сервера
Вообще, насколько я понял, в покупной сертификат включить внутреннее имя не получится.

Оффлайн Amigo

  • Новичок
  • *
  • Сообщений: 4
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Сертификат для Exchange
« Ответ #8 : 13 июля 2017, 18:51:09 »
Внутреннее не получится.

Делается просто - допустим домен company.local
Внешнее имя mail.company.ru
Создаем на внутреннем DNS зону mail.company.ru и прописываем внутренний IP сервера.

Ну и на все виртуальные каталоги external и internal одинаковое имя.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Сертификат для Exchange
« Ответ #9 : 13 июля 2017, 22:43:32 »
Вообще, насколько я понял, в покупной сертификат включить внутреннее имя не получится.
Да, это уже тоже выяснил.



Updated: 13 July 2017, 22:54:03

Amigo, Типа так?

http://dzuba.windowsfaq.ru/?p=494
« Последнее редактирование: 13 июля 2017, 22:54:03 от Triangle »
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Сертификат для Exchange
« Ответ #10 : 13 июля 2017, 23:14:00 »
Amigo, Типа так?
Не совсем. Там предлагается создать внутри сети зону внешнего домена company.ru, а в ней A-запись mail. В этом случае, пользовтаели в твоей локлаьной сети не получат доступа к внешним ресурсам company.ru (например внешний сайт), если ты в этой зоне не пропишешь все внешние имена с их адресами. Amigo тебе предлагает более хитрый путь, создать зону mail.company.ru. Тогда внешние адреса будут сами по себе, а имя почтовика само по себе.