Замена/обновление сертификатов Exchange
Привет!
У меня есть несколько вопросов. 1) Будет ли Exchange работать как обычно, если не менять сертификаты? Почему спрашиваю: у меня весь клиентский трафик (Outlook/OWA) идёт через реверс-прокси, и там настроен SSL offloading. Сейчас всё работает через сертификат wildcard, но его действие заканчивается, и продлевать его не будут. Планируется перевести всё на Let's Encrypt. Если сертификат поменять на реверс-прокси, то клиентам будет выдаваться нормальный сертификат. Другой вопрос, как будет работать сам Exchange, если к его службам будут привязаны просроченные сертификаты. 2) Какие имена надо вставлять в клиентский сертификат? mail.example.com autodiscover.mail.example.com ? 3) Если всё же надо менять сертификаты для служб Exchange (самоподписанные), можно ли сделать их срок действия лет на 10? 4) Есть ли разница для служб SMTP/POP3/IMAP4 и работы почтовой системы, самоподписанный сертификат или нет? Спасибо! |
1) Да, будет, при условии, если клиентский трафик (Outlook/OWA) идёт через реверс-прокси, и там настроен SSL offloading. Другой вопрос, что замучает предупреждениями, так что сертификат лучше перевыпустить.
2) Я сделал mail.example.com и autodiscover.example.com (не уверен, что нужен сертификат для autodiscover при наличии одного сервера, но пусть будет). 3) Если создавать самоподписанный сертификат, то стандартно он создаётся на 5 лет - этого вполне достаточно. 4) Никакой. Нюанс - если сертификат меняется для IIS, то необходим установить такой же сертификат для Exchange Back End (привязка к порту 444), иначе в OWA, EAC и т. п. будет невозможно зайти. |
Время: 21:12. |
Время: 21:12.
© OSzone.net 2001-