Oleg Krylov, добрый день!
Начну по порядку.
Цитата Oleg Krylov:
|
С локальными именами сертификат вам могут и не дать, особенно если у вас используется резервированная Domain Part типа .local. »
|
Да, действительно RuCenter отказал в выдаче такого типа сертификата.
Хотя я точно знаю, что такие сертификаты выпускали
Цитата:
1.Компания, выпускающая сертификат должна предупредить, что использование внутренних IP/FQDN в поле SAN с октября 2016 года не допускается. Все сертификаты с такими именами будут отозваны 1 октября 2016 года.
2.Компания, выпускающая сертификат не должна выпускать сертификаты с внутренними IP/FQDN в поле SAN, срок жизни которых истекает 1 ноября 2015 года и позднее.
Поле Subject Name в обозримой перспективе рискует исчезнуть совсем.
|
http://www.buldakov.ru/?p=2289
Цитата Oleg Krylov:
|
Да и не нужны вам они, потому что TMG маскирует их »
|
Можно об этом по подробней!!!
Цитата Oleg Krylov:
|
Понятное дело, что внутри сети вам стоит повесить на Exchange сертификаты, выписанные вашим внутренним СА. »
|
Внутри домена нет своего CA, использую самоподписанный сертификат, а точнее 2 сертификата
1. Назначен для службы SMTP
Субъкт DC = ru, DC = dmain, DC = mx CN = mx.domain.ru
SAN DNS-имя=mx.domain.ru
2. Назначен для служб IMAP, POP, IIS, SMTP
Субъкт DC=ru, DC = dmain, DC = mail CN = mail.domain.ru
SAN DNS-имя=exchange DNS-имя=exchange.domain.local DNS-имя=mail.domain.ru
В данном случае, если у меня нет внутреннего СА, какой из сертификатов оставить или лучше создать один и в SAN добавить DNS-имя=mx.domain.ru и autodiscover.domain.local????
Цитата Oleg Krylov:
|
Самым простым решением для публикации будет использование wildcard-сертификата, вида *.domain.com. »
|
они очень дорогие, нашел решение чуть дешевле
Geotrust True BusinessID SAN
Цитата:
В стоимость сертификата GeoTrust True BusinessID Multi-Domain включено до 6 дополнительных доменных имен. Дополнительные доменные имена добавляются за отдельную плату.
Этот сертификат создавался для Microsoft Exchange или Microsoft Communications Servers,
|
Тогда не пойму, какие имена должны быть в сертификате от внешнего поставщика
mail.domain.ru, mx.domain.ru, autodiscover.domain.ru - Так???
Цитата Oleg Krylov:
|
MX-записи для публикации веб-сервисов не используются совсем, вам это имя (mx.domain.ru) нужно для работы MTLS на SMTP. »
|
Мне для веб-сервисов это и не нужно, я хотел одним сертификатом закрыть все службы. И еще я писал
Так как ранее писал, что
Цитата zhuk09:
В DNS есть 2 MX записи
mail.domain.ru. A 1.1.1.1 ; HELO/EHLO = mail.domain.ru
mx.domain.ru. A 1.1.2.2 ; HELO/EHLO = mx.domain.ru
domain.ru. MX 10 mail.domain.ru.
domain.ru. MX 20 mx.domain.ru.
»
|
-
2 интернет канала
ЗЫ: Как я понял, с самоподписанным сертификатом опубликовать OWA, ActiveSync, Outlook Anywhere - НЕ ПОЛУЧИТСЯ!!!!
