Ранее мы запрашивали у godaddy подстановочный ssl-сертификат для нашего основного домена. одной из причин был новый установленный сервер Exchange 2010. обычно вам требуются следующие имена, включенные в сертификат:
с подстановочным сертификатом все они покрываются (кроме локального имени хоста). Во время создания / импорта сертификата ssl в Exchange 2010, exchange сначала спрашивает, используется ли подстановочный сертификат, а затем обнаруживает ошибку -> из-за того, что сертификат является подстановочным сертификатом, а не сертификатом, специально созданным для FQDN, SSL для POP и IMAP не может быть предоставлен.
не смог найти обходной путь или решение для этого в Google, поэтому я надеюсь, что, может быть, у кого-то здесь есть ответ или решение для меня! :)
Exchange 2010 работает на корпоративном сервере Windows Server 2008 R2.
заранее спасибо и с уважением, sise
Да уж, сертификаты UC - это большая подделка, чем обычные сертификаты, и они нужны только из-за NAT. Когда IPv6 станет широко использоваться и все компьютеры будут иметь один истинный адрес, это будет в основном спорным, поскольку вашему серверу не нужно будет разрешать другой адрес внутри и за пределами брандмауэра.
С этим довольно легко справиться, если вы используете двустороннюю систему DNS, которая для одного и того же имени хоста обслуживает частные (RFC1918) адреса для внутренних пользователей и публичный адрес сервера для внешних пользователей. Например, mail.example.com с ваших внутренних серверов возвращает 10.0.0.11, а с внешнего сервера - 208.65.70.82. Поэтому при внутреннем подключении к серверу вы все равно будете использовать mail.example.com.
Взгляни на Microsoft KB Статья 940726 в котором объясняется, как изменить внутренний URL-адрес для всех служб обмена, чтобы он совпадал с внешним URL-адресом. Он специально цитирует этот «обходной путь» для людей, которые «не могут» использовать сертификат, поддерживающий альтернативные имена субъектов. Честно говоря, я думаю, что эта конфигурация станет стандартной в следующих одной или двух версиях Exchange, поскольку IPv6 станет обычным явлением.
Мы также обнаружили, что это действительно здорово для мобильных пользователей, потому что mail.example.com разрешается на тот же сервер внутри брандмауэра, что и снаружи, особенно приятно, когда они используют протокол, такой как IMAP, с клиентом, который не поддерживает «Outlook Anywhere».
Если у вас проблемы с POP / IMAP, взгляните на Статья базы знаний Майкрософт 948896. В основном вы просто устанавливаете X509CertificateName на полное доменное имя, из которого пользователи будут получать доступ к службе (с Set-ImapSettings -X509CertificateName mail.example.com или через графический интерфейс) и специально не назначайте сертификат службе IMAP, используя Enable-ExchangeCertificate команда.
Имейте в виду, что вы можете использовать подстановочные знаки в сертификатах унифицированных коммуникаций (UC или SANS), поэтому у вас есть много вариантов и универсальность. Я видел ряд сообщений, в которых у людей возникают проблемы с тем, чтобы POP и SMTP работали с подстановочными знаками в Exchange. Так что, возможно, использование подстановочного знака в сертификате UC - хороший компромисс.
вы действительно можете использовать подстановочный знак для imap и pop. rtfm здесь: http://technet.microsoft.com/en-us/library/aa997231.aspx
:)
К сожалению, ваш лучший вариант - получить сертификат UC, что означает отказ от подстановочного знака и полную покупку нового. Смотрите мой ответ ВОТ по аналогичному вопросу.