Форум системных администраторов
IT => Windows => MS Exchange => Тема начата: Triangle от 24 сентября 2012, 16:11:19
-
Итак, это мне говорит анализато от MS
Проверка подключения RPC/HTTP.
Не удалось выполнить проверку RPC/HTTP.
Attempting to resolve the host name mail.prin.ru in DNS.
The host name resolved successfully.
Дополнительные сведения
IP addresses returned: 212.100.140.116
Testing TCP port 443 on host mail.prin.ru to ensure it's listening and open.
The port was opened successfully.
Testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
ExRCA is attempting to obtain the SSL certificate from remote server mail.prin.ru on port 443.
ExRCA successfully obtained the remote SSL certificate.
Remote Certificate Subject: CN=MAIL, Issuer: CN=MAIL.
Validating the certificate name.
Certificate name validation failed.
Host name mail.prin.ru doesn't match any name found on the server certificate CN=MAIL.
Цель.
1. Получить возможность работы мобильных клиентов(IOS, MS Win CE, Android e.t.c.) и Outlook2010 из внешних сетей, с моим сервером Exchange. Все роли на одном сервере.
Вопросы.
1. Без покупки SSL сертификата или установки собственного центра сертификации никак?
2. Стоимость сертификатов 300 в год не смертельно но неприятно дешевле это бывает или нет?
2. Почему например Bada болт кладет на все эти сертификаты и работает?
На другом сервере мне подсказали что можно обойтись и самоподписаными, только как я понял их надо руками рассовать на те девайсы которые буду подключать, если я конечно понял правильно.
-
1. Без покупки SSL сертификата или установки собственного центра сертификации никак?
Если девайсы проверяют честно СА - то никак. Ибо самопальный СА не будет в списке доверенных СА этих железок.
2. Стоимость сертификатов 300 в год не смертельно но неприятно дешевле это бывает или нет?
http://www.startssl.com/
На год можно бесплатно запилить.
2. Почему например Bada болт кладет на все эти сертификаты и работает?
Наверное забивает на проверку сертификатов )
-
1. Без покупки SSL сертификата или установки собственного центра сертификации никак?
Да, никак. Поставить собственный центр сертификации обычно никакого труда не составляет.
1. Получить возможность работы мобильных клиентов(IOS, MS Win CE, Android e.t.c.) и Outlook2010 из внешних сетей, с моим сервером Exchange. Все роли на одном сервере.
В гугле полно статей, как это сделать. Например: https://www.google.ru/search?hl=ru&newwindow=1&safe=off&client=opera&hs=RKp&rls=en&q=configure+exchange+2010+outlook+anywhere&oq=configure+Excahnge+2010+Outlook+Anywhere&gs_l=serp.3.0.0i19j0i13i30i19j0i13i5i30i19j0i8i13i10i30i19j0i8i13i30i19l6.42633.50895.0.52825.18.18.0.0.0.0.318.1795.14j2j0j1.17.0...0.0...1c.1.58C6v6uwgTc
На другом сервере мне подсказали что можно обойтись и самоподписаными
Не надо так делать. Вы не должны этого хотеть :)
-
На год можно бесплатно запилить.
только вот я не понял как, там же вроде выписывают типа личный, или это всё пофиг? Ну да я им письмо нарисовал, посмотрю что ответят.
Наверное забивает на проверку сертификатов
гм, а остальных нельзя заставить?
Поставить собственный центр сертификации обычно никакого труда не составляет.
Да вот начал читать и что то меня запугали, что если он грохнется то плохо будет всему домену, а отдельного сервака у меня пока что нет.
В гугле полно статей, как это сделать.
Ок, я всё это уже и сам нашел, но таки понял что сначал всё таки надо решить с SSL.
Не надо так делать. Вы не должны этого хотеть
И ещё так руками водит....как будто джедай какой то :)...
прессуют меня, бегом давай скорей все мыло на мобилах хочут...
-
Да вот начал читать и что то меня запугали, что если он грохнется то плохо будет всему домену, а отдельного сервака у меня пока что нет.
C чего тут вдруг домен-то? :o Тебя там вообще кто консультирует? :) Вот у тебя сейчас центра сертификации нет и что, не грохнулся еще твой домен? :D
З.Ы. Ну и бекапы рулят конечно.
А всего и делов будет при самом неблагоприятном раскладе - поднять новый центр сертификации и перевыписать все сертификаты :)
З.Ы. Немножко по-дилетантски, но тебе думаю подойдет на первый раз: http://retifff.wordpress.com/2012/04/29/installation_active_directory_certificate_services/
Updated: 24 September 2012, 20:09:20
бегом давай скорей все мыло на мобилах хочут...
А это уже гуглить "Configure ActiveSync Exchange 2010" :)
-
гм, а остальных нельзя заставить?
Ну в тех случаях что я наблюдал - всегда есть менюха что сертификат невалидный и выбор - игнорить или отменить. И галка - игнорить навсегда :)
Думаю это общая штука для всех вещей что связано с ssl.
-
Да вот начал читать и что то меня запугали, что если он грохнется то плохо будет всему домену, а отдельного сервака у меня пока что нет.
C чего тут вдруг домен-то? :o Тебя там вообще кто консультирует? :) Вот у тебя сейчас центра сертификации нет и что, не грохнулся еще твой домен? :D
З.Ы. Ну и бекапы рулят конечно.
А всего и делов будет при самом неблагоприятном раскладе - поднять новый центр сертификации и перевыписать все сертификаты :)
Думаю, тут имелось в виду другое: Если CA поставить на DC, то такой DC нельзя будет понижать до рядового сервера, что иногда используется для решения проблем с DC, если в домене их более, чем один.
-
shs, ну на самом деле тоже ничего особенно страшного, все решаемо. Я вот столкнулся с другой проблемой, установив не на DC, там сертификаты сами не публикуются в AD, надо какие-то дополнительные шаги предпринимать, может что не так сделал конечно.
-
shs, ну на самом деле тоже ничего особенно страшного, все решаемо.
только на одно простое и быстрое решение меньше ;)
-
shs, ну на самом деле тоже ничего особенно страшного, все решаемо.
только на одно простое и быстрое решение меньше ;)
Ну это же не значит, что нужно бояться и не использовать центр сертификации :D
-
shs, ну на самом деле тоже ничего особенно страшного, все решаемо.
только на одно простое и быстрое решение меньше ;)
Ну это же не значит, что нужно бояться и не использовать центр сертификации :D
Не значит конечно, но надо понимать, какие грабли ты себе подкладываешь, принимая то или иное решение :D
-
Ну я, если честно, не представляю более менее приличную сеть без CA, тем более если есть Exchange, тут вообще никак.
-
C чего тут вдруг домен-то? :o Тебя там вообще кто консультирует?
Ну вот какую то статью сегодня на технете где то про это и прочел, сказали что оно ка кто так вгрызается в AD, что потом если что поаккуратней.
З.Ы. Немножко по-дилетантски, но тебе думаю подойдет на первый раз: [url]http://retifff.wordpress.com/2012/04/29/installation_active_directory_certificate_services/[/url]
Оно кстати много не ест? А то мне если его подымать только на DC, а он к сожалению пока что один бедняга и не очень жирный.
Updated: 24 September 2012, 23:47:18
А это уже гуглить "Configure ActiveSync Exchange 2010" :)
Ну так опять же сначала нормальный SSL стало быть надо.
-
Triangle, тебе нужен один (!) серифкат.
Поэтому подними CA на недоменной виртуалке, сгенери сертификат сроком лет на 5, вытащи корневой сертификат и погаси до следующей надобности.
Если хочешь красиво и кошерно, читай http://www.sysadmins.lv/PermaLink,guid,bb8a9447-9b14-4540-add9-6df308129edd.aspx
Если CA поставить на DC, то такой DC нельзя будет понижать до рядового сервера
Угу, у меня есть один такой Win2k3 DC (((
Теперь из-за этого уродского сервера придется CA заново переподнимать и все сертификаты перевыдавать, что бы домен до 2k8 проапгрейдить (((
Updated: 25 September 2012, 00:25:01
Оно кстати много не ест?
практически ноль ресурсов.
Updated: 25 September 2012, 00:28:16
Ну в тех случаях что я наблюдал - всегда есть менюха что сертификат невалидный и выбор - игнорить или отменить. И галка - игнорить навсегда
Думаю это общая штука для всех вещей что связано с ssl.
Кроме Windows , в том числе, Windows mobile.
-
riangle, тебе нужен один (!) серифкат.
Поэтому подними CA на недоменной виртуалке, сгенери сертификат сроком лет на 5, вытащи корневой сертификат и погаси до следующей надобности.
Чего то я не подумал про такой вариант.
Updated: 25 September 2012, 13:42:13
Поднял CA, с паралельным поедание бутербродов минут семь заняло.
Ещё вопрос, а Wildcard это совсем не есть хорошо или как?
Updated: 25 September 2012, 14:17:03
Хм, чего то не выходит.
C4A8D9BC7E54F2593C072FF5BCDD297840B270AC ...... CN=mail.prin.ru, OU=it, O=jsc prin, L=MS, S=RF, C=RU
8BE3DC7468C916E25ED95B3963DC369AF23C4442 IP..S. CN=MAIL
E25E7FA5D2CF10A2F58FA2CFF0418391A98D71CD IP.WS. CN=MAIL
И ругается на сертификат, не удалось проверить проследив до довереного центра сертификации.
Так, свой CA закинул в доверенные центры, теперь сертификат действителен, и путь прослеживается, но всё равно сертификат недопустим и к нему не подвязана ни одна служба.
-
Значит так, сертификат сделал, роли повесил, даже нашел хитрожопую галку наследования родительских объектов от учетки. Теперь уперся вот в ЭТО. Смысл слов понимаю, но не понимаю что оно хочет.
Validating certificate trust for Windows Mobile devices.
Certificate trust validation failed.
Этапы проверки
ExRCA is attempting to build certificate chains for certificate CN=mail.prin.ru, OU=it, O=prin jsc, L=MSK, S=RU, C=RU.
A certificate chain couldn't be constructed for the certificate.
Дополнительные сведения
The certificate chain couldn't be built. You may be missing required intermediate certificates.
-
Triangle, между корневым сертификатом и твоим есть еще какой-то сертификат ?
Видимо девайс не может проверить валидность этого третьего сертификата. Добавь его тоже.
HINT: Опубликуй маленький сайтик на IIS на котором будет только одна простейшая страничка со ссылкой на нужный тебе сертификат (или на несколько).
С каким-нть простым именем, типа c.company.ru
Так будет намного проще закидывать сертификаты на мобильные устройства: зашел с телефона в браузере на сайт, ткнул ссылку и вуаля.
-
между корневым сертификатом и твоим есть еще какой-то сертификат ?
Нет, есть рутовый сертификат моего центра сертификатов и этот, в цепочке (не знаю как это показать)это однозначно видно. Попробую тупо засунуть сегодня на какой нибудь девайс оба сертификата.
-
Итог винмобайлам подкладываю руками, андроиды жрут и не давятся сами.