Мы унаследовали конфигурацию, от которой нельзя отказаться. Вот что у нас есть:
внутренний домен - contoso.com. мы не владеем contoso.com, и текущий владелец не будет продавать.
внутреннее имя почтового сервера - exchange2007.contoso.com
домен электронной почты - contosointernational.com
Доступ к OWA осуществляется через другой сокращенный домен ctsi.com, т.е. exchange.csti.com/owa
Мы хотим приобрести коммерческий сертификат, который позволит activesync работать, защищать доступ к owa и по-прежнему разрешать внутреннюю работу электронной почты. Как мы можем заставить это работать?
Спасибо.
ОБНОВИТЬ:
мы купили единый сертификат имени (mail.ctsi.com), создали внутреннюю зону для ctsi, создали запись A для mail.ctsi.com, указывающую на наш сервер обмена, а затем обновили точку подключения для автообнаружения, внутренний URL для ews, oab и веб-службы единой системы обмена сообщениями на mail.ctsi.com (согласно KB940726), и наша проблема решена.
Вы можете купить сертификат contosointernational.com и сертификат csti.com, который является SAN (иметь несколько имен) или только один. Технически это не имеет значения. В конечном итоге вы создадите ВНУТРЕННЮЮ зону DNS для любого домена / ов, которые вы хотите реализовать в своем внешнем сертификате, и просто укажите, что внутренние имена ресурсов, такие как mail.csti.com или mail.contosointernational.com, используя ВНУТРЕННИЕ IP-адреса. Однако, чтобы убедиться, что вы сможете разрешить фактические внешние имена сервера, которые говорят о хосте вашего www.contosointernational.com, вам необходимо добавить IP-адрес в эту ВНУТРЕННЮЮ зону, указывающую на внешний IP-адрес. Кроме того, вам необходимо будет изменить, используя PowerShell или консоль Exchange, OWA, сервер клиентского доступа и пару других настроек, чтобы ваш Outlook мог правильно подключаться к обмену. Я делал это десятки раз. Работает на 100%. Просто убедитесь, что запись A для ВНУТРЕННЕГО / ВНЕШНЕГО почтового сервера существует во ВНУТРЕННЕЙ ЗОНЕ.
Какие именно службы вам нужно настроить, легко увидеть в каждом руководстве в Интернете, где объясняется, как внедрить сертификат SSL в среду Exchange 2007/2010.
contoso.com - это пример домена Microsoft для их тестовых вопросов. Если это вообще возможно, было бы разумно сначала перейти с этого домена на что-то более уникальное.
Поскольку домен принадлежит другому лицу, вы не можете указать его в качестве домена в сертификате. С этим ничего не поделать.
У вас может быть возможность использовать сертификат, созданный внутри сети, и внешний сертификат для домена, которым вы владеете.
Как подсказывает большинство, я бы порекомендовал начать долгосрочный проект по смене доменного имени. Это можно сделать, я унаследовал уродливую ситуацию, похожую на ту, и это заняло много времени, но мы, наконец, справились.
Вероятно, вы захотите использовать сертификат SAN. В 2010 году вы можете сгенерировать файл запроса сертификата с помощью EMC, хотя я считаю, что это недоступна в Exchange 2007.
Однако вы можете использовать EMS для Exchange 2007 для создания файла запроса сертификата.
https://www.digicert.com/easy-csr/exchange2007.htm позволяет вам вставить информацию для вашей конфигурации, чтобы сгенерировать команду оболочки, которую вы можете вставить в EMS.
Брайан прав. Вам нужно будет запустить 2 сертификата.
Внутренний сертификат должен быть подписан вашим внутренним центром сертификации для вашего домена AD. Внешний сертификат будет использовать ваш почтовый домен. Да, это означает, что вам придется запустить ДВА отдельных веб-сайта для OWA / ActiveSync.
Вы также должны сделать своим приоритетом переход на новое доменное имя. Проверять, выписываться Что такое переименование домена?. Сам не пробовал, но выглядит разумно. Чтобы убедиться, что все работает правильно, потребуется много работы.
Изменить: На самом деле ... Я думаю, вы могли бы просто обойтись одним сертификатом, если добавите свой внешний домен в качестве внутреннего URL-адреса. Это может сработать. Посмотрите свойства OWA для вашего сервера в разделе клиентского доступа конфигурации сервера.