У нас есть клиент с внешним доменом abc.com и внутренним доменом xyz.local. Я вижу много статей, в которых утверждается, что для Exchange у вас должен быть многодоменный сертификат с альтернативными именами субъектов как для внешнего, так и для внутреннего домена. Однако у нас есть пара клиентов, у которых в сертификате указано только внешнее имя, и, похоже, он работает нормально. Они не получают сообщения об ошибках SSL в Outlook или при доступе к OWA. Может ли кто-нибудь объяснить, зачем нужен сертификат, охватывающий как внешнее, так и внутреннее доменное имя? Существуют ли обстоятельства, при которых кто-то может пропустить внутренний домен без последствий?
Как указано в комментариях, я мог бы лучше сформулировать свой вопрос. Может ли кто-нибудь привести веские причины для наличия сертификата, охватывающего как внутренние, так и внешние доменные имена? Это предлагается в статье DigiCert: http://www.digicert.com/ssl-support/exchange-2010-san-names.htm Я также видел статьи Microsoft TechNet, в которых говорится нечто подобное.
Имя, которое вы используете при подключении к серверу, - это то имя, которое используется для проверки сертификата, и его необходимо указать там. Но то, какое имя вы используете для подключения, зависит от вашей настройки: это может быть только внутреннее имя, но это также может быть внешнее имя, если у вас есть разделенный DNS, то есть другой IP-адрес для одного и того же имени хоста при разрешении изнутри или вне.
На самом деле это должен быть Джо, так как его комментарий в основном является ответом ... но чтобы донести его до дома, я думаю:
Может ли кто-нибудь привести веские причины для наличия сертификата, охватывающего как внутренние, так и внешние доменные имена?
Большинство магазинов, в которых работает Exchange, делают это для своих сотрудников. По сути, сотрудники часто работают на своих компьютерах во внутренней локальной сети, в которой находятся серверы Exchange, и разрешают эти серверы внутренним именам DNS.
В то же время такие сотрудники используют смартфоны, работают из дома, работают во время путешествий и т. Д. И нуждаются в доступности через ActiveSync, Outlook Anywhere, OWA для использования «служб» серверов Exchange. Таким образом требуется разрешение на ВНЕШНИЕ DNS-имена.
Обычно внутренние и внешние доменные имена не совпадают (как в отношении имени хоста, так и имени домена).