Требования к SSL-сертификату Exchange 2010 для нескольких доменов

я прочел этот, и я все еще не на все 100%.

Если наш сервер Exchange размещает электронную почту для нескольких авторитетных доменов, нужно ли мне совпадать имена SAN в сертификате SSL для каждого из них?

В нашей настройке домен AD - это company.local, домен электронной почты для большинства людей - company.com, но у нас также есть люди, у которых есть адреса электронной почты @ othercompany.com.

Поэтому, когда я покупаю сертификат SSL, я предполагаю, что мне понадобятся:

mail.company.com
autodiscover.company.com
legacy.company.com
mail.othercompany.com
autodiscover.othercompany.com
legacy.othercompany.com

Это правильно?

ssl-certificate exchange-2010

Помимо необходимых внутренних полных доменных имен и имен серверов, вам потребуются только те домены в сертификате, которые необходимы для безопасного доступа к вашему серверу (например, OWA или ActiveSync). Ваш сервер Exchange может принимать почту для любого количества других доменов, но если вы получаете доступ к OWA только на mail.acme-widgets.com тогда это единственное внешнее DNS-имя, которое должно быть в сертификате.

Например, наш сервер Exchange принимает почту примерно для 30 доменов, но у нас есть только следующие данные в нашем сертификате (простите за всю вещь Acme Widgets, но вы поняли идею).

svr03                               (Internal server name)
mail.acme-widgets.com               (OWA domain)
autodiscover.corp.acme-widgets.com  (AutoDiscover internal FQDN)
autodiscover.acme-widgets.com       (AutoDiscover external FQDN)
legacy.acme-widgets.com             (Legacy domain)
svr03.corp.acme-widgets.com         (Internal FQDN)

Если я правильно помню, когда я проходил через мастер сертификатов Exchange, он сделал включить все наши вспомогательные домены, но я решил их удалить. Не повредит оставить их включенными, и если мастер сертификатов включает их по умолчанию, то, конечно, не будет неправильно их оставить.

Фактически, если вы правильно перенастроите свой Exchange, вы можете использовать только один домен / сертификат (например, mail.company.com) как для внутреннего, так и для внешнего доступа. Однако тогда ваша конфигурация owa / outlook всегда должна указывать на это выбранное доменное имя. Это самый простой / дешевый сценарий.
это ссылка на сайт может помочь вам настроить Exchange 2010 для использования только одного домена для всего. В противном случае, если вы хотите продолжать использовать разные доменные имена для разных людей, вам необходимо использовать сертификат SAN. Это может быть дорогим решением.

Одно доменное решение для всего (внутренний / внешний доступ) может быть даже дешевле, если использовать совершенно бесплатно сертификаты от StartSsl на 1 год (ежегодно продлевается бесплатно). Если общее название компании mail.company.com слишком большая проблема (это может быть проблемой, если ваши сотрудники не чувствуют себя хорошо, заходя на mail.microsoft.com, будучи сотрудниками IBM, и наоборот - хотя я сомневаюсь, что это будет проблемой в вашем случае), вы всегда можете купить несвязанное доменное имя с названием компании, например mailserver.com или что-то подобное и используйте это. Тогда ни сотрудники старой, ни новой компании не будут жаловаться.