Назад | Перейти на главную страницу

Какие поддомены требуются для сертификата SSL Exchange 2013?

Мне нужно заказать SSL-сертификат для сервера Exchange 2013.

Я собираюсь заказать Сертификат UC из Comodo Group Inc.

Я понимаю, что мне нужно указать следующие поддомены при заказе:

  1. автообнаружение.
  2. почта.

Есть ли другие поддомены, которые мне нужно указать для сервера Exchange 2013? Я спрашиваю, потому что Сертификат UC позволяет использовать 3 поддомена, поэтому я думаю, что мне не хватает одного.

Да, обычно mail и autodiscover будет все, что вам нужно, если mail.yourdomain.com это ваше полное доменное имя Exchange.

См. Exchange 2013 Цифровые сертификаты и SSL документация, в которой говорится:

Рекомендация: используйте мастер сертификатов Exchange для запроса сертификатов *

В Exchange есть много служб, использующих сертификаты. Распространенной ошибкой при запросе сертификатов является выполнение запроса без включения правильного набора имен служб. Мастер сертификатов в Центре администрирования Exchange поможет вам включить правильный список имен в запрос сертификата. Мастер позволяет указать, с какими службами должен работать сертификат, и, в зависимости от выбранных служб, включает имена, которые должны быть в сертификате, чтобы его можно было использовать с этими службами. Запустите мастер сертификатов, когда вы развернули свой первоначальный набор серверов Exchange 2013 и определили, какие имена хостов использовать для различных служб для вашего развертывания. В идеале вам нужно будет запустить мастер сертификатов только один раз для каждого сайта Active Directory, на котором вы развертываете Exchange.

Вместо того чтобы беспокоиться о том, чтобы забыть имя хоста в списке SAN приобретенного вами сертификата, вы можете использовать центр сертификации, который предлагает бесплатно льготный период, в течение которого вы можете вернуть сертификат и запросить тот же новый сертификат с несколько дополнительных имен хостов.

Далее говорится:

Рекомендация: используйте как можно меньше имен хостов

В дополнение к использованию как можно меньшего количества сертификатов вы также должны использовать как можно меньше имен хостов. Эта практика может сэкономить деньги. Многие поставщики сертификатов взимают плату в зависимости от количества имен хостов, которые вы добавляете в свой сертификат.

Самый важный шаг, который вы можете предпринять для уменьшения количества имен хостов, которые вам необходимо иметь, и, следовательно, сложности управления вашим сертификатом, - это не включать отдельные имена хостов сервера в альтернативные имена субъектов вашего сертификата.

Имена хостов, которые вы должны включить в свои сертификаты Exchange, - это имена хостов, используемые клиентскими приложениями для подключения к Exchange. Ниже приводится список типичных имен узлов, которые потребуются компании Contoso:

Mail.contoso.com Это имя узла охватывает большинство подключений к Exchange, включая Microsoft Outlook, Outlook Web App, Outlook Anywhere, автономную адресную книгу, веб-службы Exchange, POP3, IMAP4, SMTP, панель управления Exchange и ActiveSync.

Autodiscover.contoso.com Это имя узла используется клиентами, поддерживающими автообнаружение, включая Microsoft Office Outlook 2007 и более поздние версии, Exchange ActiveSync и клиенты веб-служб Exchange.

Legacy.contoso.com Это имя узла необходимо в сценарии сосуществования с Exchange 2007 и Exchange 2013. Если у вас будут клиенты с почтовыми ящиками на Exchange 2007 и Exchange 2013, настройка устаревшего имени узла не позволит вашим пользователям узнать второй URL-адрес в процессе обновления. .

Небольшой совет. Центры сертификации постепенно отказываются от выдачи сертификатов UC для .local, поэтому в идеале вам следует переместить свой домен.com. Мультидоменные SSL-сертификаты обычно дешевле, чем UC Cert, и вскоре будут служить той же цели. Стандартными для SBS являются mail.contoso.com, remote.contoso.com и autodiscover.contoso.com.

Для обычной среды Exchange требуются mail.contoso.com и autodiscover.contoso.com. Не забудьте добавить здесь autodiscover.contoso.com в записи DNS внешнего домена. Я видел owa.contoso.com, но, честно говоря, это не нужно.

Чтобы установить сертификат UC на Exchange Server 2013, необходимо продумать поддомены автообнаружения, почты и OWA.

  • owa.yourdomain.com требуется для доступа в Outlook
  • mail.yourdomain.com требуется для имени хоста почтового сервера
  • autodiscover.yourdomain.com для автоматической настройки почтовых клиентов соответственно.

Вы должны оценить свои требования, прежде чем создавать CSR и настраивать SSL на Exchange Server 2013.