|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Exchange Server » V. 2010 - [решено] Exchange 2010 и SSL сертификат |
|
V. 2010 - [решено] Exchange 2010 и SSL сертификат
|
Пользователь Сообщения: 85 |
Профиль | Отправить PM | Цитировать обрый день!
Имеется Exchange 2010 Версия: 14.03.0224.002. Необходимо выпустить OWA/ActiveSync/Outlook Anywhere наружу. Как бы в основном проблем нет, но возник один вопрос В DNS есть 2 MX записи mail.domain.ru 10 mx.domain.ru 20 Соответственно каждой MX записи соответствует своя А-запись. И у каждого из провайдера прописана PTR. Теперь вопрос: заказать один сертификат с SAN mx.domain.ru и mail.domain.ru (ну и соответственно с autodiscover и локальными FQDN) и при публикации на TMG 2010 повесить сертификат на один веб-прослушиватель привязанный к Внешней сети или заказать 2 сертификата один с mx.domain.ru, другой с mail.domain.ru, и повесить эти сертификаты к разным веб-прослушивателям привязанные к разным IP-адресам. Самое главное, что бы не было такой ошибки msexchangetransport 12014 http://www.eventid.net/display-event...55-phase-1.htm при смене FQDN на коннекторе отправки c mail.domain.ru на mx.domain.ru ?! og Name : Application Source : MSExchangeTransport vent ID : 12014 Task Category : TransportService Level : Error Keywords : Classic User : N/A Computer : hub01.msexchangeguru.com Description: Microsoft Exchange could not find a certificate that contains the domain name hub01.msexchangeguru.com in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Default HUB01 with a FQDN parameter of hub01.msexchangeguru.com. If the connector’s FQDN is not specified, the computer’s FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key. |
|
Отправлено: 17:28, 21-01-2015 |
Добрый волшебник Сообщения: 2125
|
Профиль | Сайт | Отправить PM | Цитировать С локальными именами сертификат вам могут и не дать, особенно если у вас используется резервированная Domain Part типа .local. Да и не нужны вам они, потому что TMG маскирует их. Понятное дело, что внутри сети вам стоит повесить на Exchange сертификаты, выписанные вашим внутренним СА.
Самым простым решением для публикации будет использование wildcard-сертификата, вида *.domain.com. MX-записи для публикации веб-сервисов не используются совсем, вам это имя (mx.domain.ru) нужно для работы MTLS на SMTP. |
------- Отправлено: 18:32, 21-01-2015 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 85
|
Профиль | Отправить PM | Цитировать Oleg Krylov, добрый день!
Начну по порядку. Цитата Oleg Krylov:
Цитата:
Цитата Oleg Krylov:
Цитата Oleg Krylov:
1. Назначен для службы SMTP Субъкт DC = ru, DC = dmain, DC = mx CN = mx.domain.ru SAN DNS-имя=mx.domain.ru 2. Назначен для служб IMAP, POP, IIS, SMTP Субъкт DC=ru, DC = dmain, DC = mail CN = mail.domain.ru SAN DNS-имя=exchange DNS-имя=exchange.domain.local DNS-имя=mail.domain.ru В данном случае, если у меня нет внутреннего СА, какой из сертификатов оставить или лучше создать один и в SAN добавить DNS-имя=mx.domain.ru и autodiscover.domain.local???? Цитата Oleg Krylov:
Цитата:
mail.domain.ru, mx.domain.ru, autodiscover.domain.ru - Так??? Цитата Oleg Krylov:
Так как ранее писал, что Цитата zhuk09:
ЗЫ: Как я понял, с самоподписанным сертификатом опубликовать OWA, ActiveSync, Outlook Anywhere - НЕ ПОЛУЧИТСЯ!!!! |
||||||||
Последний раз редактировалось zhuk09, 22-01-2015 в 21:48. Отправлено: 11:23, 22-01-2015 | #3 |
Пользователь Сообщения: 85
|
Профиль | Отправить PM | Цитировать И еще один вопрос
Если идти по этому варианту Цитата:
Для того что бы работал Autodiscover необходимо создать CNAME ???, допустим так autodiscover.domain.ru CNAME mail.domain.ru. Но если произойдет переключение на резервного провайдера, и вместо основной MX записи mail.domain.ru будет активна MX запись mx.donain.ru - как в этом случае отработает Autodiscover????? Или не надо создавать запись такого типа????! |
|
Последний раз редактировалось zhuk09, 22-01-2015 в 21:03. Отправлено: 11:48, 22-01-2015 | #4 |
Пользователь Сообщения: 85
|
Профиль | Отправить PM | Цитировать UP!!!! Нужна помощь!
|
|
Отправлено: 17:16, 22-01-2015 | #5 |
Пользователь Сообщения: 85
|
Профиль | Отправить PM | Цитировать Oleg Krylov, надеюсь только на Вас!
Почитал я форум technet, а конкретно вот эти темы 1. exchange сертификат SSL в локальной сети зоты local 2. Outlook anywhere, ошибка 8004010F 3. Публичный SSL сертификат И пришел к выводу, что SSL сертификатом от внешнего поставщика, где нет SAN с зоной .local, будет работать только 1. с некоторой настройкой внутреннего DNS. Как я понял эта настройка называется Split DNS (создание зоны domain.ru на локальном DNS сервере) и конфигурирование Split DNS. 2. Прописываете URL (Outlook 2007 security warning: "The name of the security certificate is invalid or does not match the name of the site") Но тут же Oleg.Kovalenko пишет Цитата:
Цитата Oleg Krylov:
Цитата:
Цитата:
|
||||
Последний раз редактировалось zhuk09, 22-01-2015 в 20:52. Отправлено: 20:19, 22-01-2015 | #6 |
Добрый волшебник Сообщения: 2125
|
Профиль | Сайт | Отправить PM | Цитировать Цитата zhuk09:
Цитата zhuk09:
Цитата zhuk09:
Цитата zhuk09:
Однако, если вы хотите использовать Outlook Anywhere и OWA да еще и с преаутентификацией FBA на TMG, то вы не сможете опубликовать все это на одном прослушивателе, т.к. Outlook не понимает FBA и не умеет вводить логин\пароль в формочку. Следовательно вам нужно разделить пространство имен OWA и Outlook Anywhere. Тут еще один вопрос: Exchange ActiveSync умеет аутентифицироваться только в Basic или в Certificate-based authentication. А для Outlook Anywhere неплохо бы сделать NTLM. Следовательно вы получаете третье пространство имен и третий прослушиватель. Все зависит от того, сколько в вашем распоряжении IP-адресов. По-хорошему надо три, но можно все сделать и на одном (OWA без FBA, Outlook Anywhere в Basic, EAS в Basic). Если адресов три, тогда получаем: mail.domain.com - Outlook Anywhere, IP-адрес №1 owa.domain.com - Outlook Web App, IP-адрес №2 eas.domain.com - Exchange ActiveSync, IP-адрес №3 autodiscover.domain.com - Autodiscover Service, IP-адрес №1 mx.domain.com - SMTP, IP-адрес любой из трех. Если адрес один, то получаем вот что: mail.domain.com - Outlook Anywhere, OWA, EAS autodiscover.domain.com - Autodiscover Service mx.domain.com - SMTP. Есть еще хинт - использовать для Autodiscover Service не А-запись, а SRV. Тогда вы создаете в вашем DNS SRV-запись вида _autodiscover._tcp.domain.com 443 mail.domain.com, тогда клиент поймет, что автообнаружение за адресом mail.domain.com. Но тут есть момент - это работает только в новых клиентах (сейчас можно сказать во всех). Если вдруг есть динозавры типа Windows Mobile 5 или 6, то они не поймут где им и что искать. А теперь, внимание, самый хитрый хинт: SMTP использует TCP 25 (клиентский может использовать TCP 587\465, т.н. explicit\implicit TLS), а все остальные сервисы, за исключением POP3 и IMAP, используют TCP 443. Следовательно у вас нет пересечения по сокетам (паре IP:port) и это означает что? А то, что вы можете использовать ОДНО имя. mx.domain.com Все. Все сервисы висят на нем, autodiscover висит на записи типа SRV, которая указывает на это же имя (_autodiscover._tcp.domain.com 443 mx.domain.com). Цитата zhuk09:
Цитата zhuk09:
Цитата zhuk09:
Цитата zhuk09:
Ну а если у вас hostname в URL не совпадает ни с одним из имен в сертификате (не забудьте, что то имя, которое у вас в SubjectName, должно обязательно дублироваться в SAN, при этом не идти первым именем в списке, иначе TMG может сойти с ума) ошибку вы получите в любом случае. Ну и Outlook 2007 морально устарел, а если вы его используете до сих пор - надо обновить его до последней доступной версии. Цитата zhuk09:
И последнее. Про SSL Bridge или SSL Terminating. Если вы на прослушиватель TMG вешаете сертификат внешний (коммерческий), а на внутренние серверы ваши внутренние сертификаты (не self-signed, а выданные внутренним СА), то можно настроить работу следующим образом: 1. Клиент подключается к TMG по URL https://mail.domain.com на котором висит сертификат mail.domain.com, выданный доверенным СА. Имя может быть как в SN, так и в SAN. 2. Устанавливается шифрованное SSL-соединение. 3. Далее, TMG имея закрытый ключ от этого сертификата, расшифровывает сессию, проверяет ее своими фильтрами (если они включены). 4. После проверки, он берет ОТКРЫТЫЙ ключ сертификата, который висит на внутреннем CAS (cas01.domain.local), зашифровывает сессию им, и отдает на CAS. Вот так и работает маскировка. Для этого нужны следующие условия: 1. Коммерческий сертификат должен стоять на TMG ОБЯЗАТЕЛЬНО с закрытым ключом. 2. TMG должен доверять сертификату на CAS (а этого невозможно добиться, если вы используете self-signed), т.е. на TMG должен быть корневой сертификат внутреннего СА (без закрытого ключа, разумеется). 3. В правиле публикации должно быть настроено прохождение пакетов ОТ СЕВРЕРА TMG, а не от клиента. Т.е. TMG пакеты принимает, а потом передает уже от себя. 4. В правиле публикации должна быть отключена опция Keep original header, иначе пакеты, адресованные mail.domain.com, пойдут на cas01.domain.local, что очевидно приведет к несовпадению hostname и ошибке. Больше этого объяснять не вижу смысла, читайте документацию, иначе это превращается в частные уроки |
|||||||||
------- Отправлено: 23:07, 22-01-2015 | #7 |
Пользователь Сообщения: 85
|
Профиль | Отправить PM | Цитировать Oleg Krylov, У меня нет слов, одни эмоции!!!! Это действительно развернутый ответ и, огромное Вам спасибо!
И если позволите, хотел немного уточнить 1. Цитата Oleg Krylov:
mail.domain.ru. A 1.1.1.1 ; HELO/EHLO = mail.domain.ru mx.domain.ru. A 1.1.2.2 ; HELO/EHLO = mx.domain.ru domain.ru. MX 10 mail.domain.ru. domain.ru. MX 20 mx.domain.ru. 2. Цитата Oleg Krylov:
Цитата:
Сможет ли клиент резолвить CNAME. 3. Цитата Oleg Krylov:
Цитата Oleg Krylov:
Цитата Oleg Krylov:
|
||||||
Отправлено: 11:16, 23-01-2015 | #8 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
2008 R2 - [решено] Пропадает ssl сертификат в IIS Manager | nosferatoss | Windows Server 2008/2008 R2 | 10 | 02-04-2015 11:45 | |
V. 2010 - Exchange 2010 и сертификат D-link | gorshok.max | Microsoft Exchange Server | 6 | 10-12-2012 13:22 | |
2008 R2 - [решено] Как привязать ssl сертификат к порту | Magikanin2006 | Windows Server 2008/2008 R2 | 1 | 30-06-2011 12:10 | |
SSL в forefront tmg 2010 | HappySmiley | ISA Server / Microsoft Forefront TMG | 3 | 26-01-2011 19:12 | |
V. 2007 - помогите победить ssl и exchange 2007 | info9216 | Microsoft Exchange Server | 0 | 13-07-2009 22:39 |
|