В данном блоге будут изложены мои мысли насчет сертификатов для работы MS Exchange 2010.
Как известно, в процессе установки MS Exchange 2010, для служб IIS, SMTP, IMAP создается самоподписанный сертификат. Он используется для шифрованных соединений. Основной плюс, создается сам и не требует денег для создания. Минус везде, где толко можно пишется, что сертификат выдан недоверенным центром сертификации, особенно это бросается в глаза при использовании Outlook Web Acces ( OWA). Особенностью использования сертификатов еще и в том, что для внешних пользователей (пользователей, обращающихся с внешней сети Интернет) MS Exchange 2010 представляется одним именем, а для внутренней сети другим. Причем во внутренней сети, домен может быть нестандартный, например office.local. Поиски по данному вопросу привели меня к следующим решениям:
- Чтобы не было предупреждений о том, что сертификат выдан недоверенным центром сертификации, необходимо, чтобы этот самый центр сертификации находился на ПК в доверенных центрах сертификации.
- Стандартные сертификаты могут использовать только одно имя (не берем в расчет WildCard сертификаты), поэтому они использоваться не могут.
- Нужен сертификат, который в себе содержал бы несколько имен. Для этого требуется сертификат, который содержит в себе поле SAN (Subject Alternative Names)/
- Нужен Центр Сертификации, котрый бы удостоверял бы такие сертификаты.
Была найдена статья на сайте Майкрософт, из которой следует, что для подписи таких сертификатов рекомендуется использовать 3 центра сертификации
Центр сертификации | Веб-узел |
Entrust | http://www.entrust.net/microsoft/ |
Comodo | http://www.comodo.com/msexchange |
DigiCert | http://www.digicert.com/unified-communications-ssl-tls.htm |
На сайте DigiCert есть даже конфигуратор команды, для создания запроса на новый сертификат.
Например, необходимо создать запрос на сертификат со следующими параметрами:
- Основное имя — mail.domain.com
- Дополнительные имена — autodiscover.domain.com, mx.domain.com, mail.office.local, autodiscover.office.local
- Организация — ООО «Рога и Копыта»
- Департамент — ИТ
- Город — Москва
- Строна — Россия
- Длина ключа — 2048
Вбиваем данные в соответсвующие поля (на английском языке):
Нажимаем клавишу Generate, получаем сформированный запрос, который необходимо вставить в консоль Exchange Management Shell .
New-ExchangeCertificate -GenerateRequest -KeySize 2048 -SubjectName "c=RU, s=, l=Moscow, o=Roga i Copyta LLC, ou=IT, cn=mail.domain.com" -DomainName autodiscover.domain.com, mx.domain.com, mail.office.local, autodiscover.office.local, mx.office.local -PrivateKeyExportable $True
Я бы его дополнил еще параметром -Path, с указанием куда писать запрос на сертификат.
New-ExchangeCertificate -GenerateRequest -KeySize 2048 -SubjectName "c=RU, s=, l=Moscow, o=Roga i Copyta LLC, ou=IT, cn=mail.domain.com" -DomainName autodiscover.domain.com, mx.domain.com, mail.office.local, autodiscover.office.local -PrivateKeyExportable $True -Path c:\certificates\mail.domain.com.req
Немного о финансах.
Так как мы работаем в России, а Центры Сертификации иностранные, то неизбежно возникнут вопросы с бухгалтерией. Я обзвонил, написал письма, несколько компаний, который торгуют сертификатами в России (Рег.ру, Руцентр, ХЦ). Только в Руцентре мне смогли ответить на мой вопрос, везде тех. поддержка компаний говорил, что не предоставляет таких сертификатов, либо терялась, когда я спрашивал про сертификаты с SAN.
Вот цитата из письма от руцентра:
Добрый день, Алексей!
Чтв Июн 21 16:30:55 2012, писал:
> Меня интересует SSL сертификат, который я могу использовать в exchange
> 2010 для сервисов SMTP, IMAP, IIS.
> Также в поле SAN сертификата мне необходимо указать дополнительные
> доменные имена.
>
> Вы можете предоставить такой сертификат?
>Выпуск сертификатов с поддержкой SAN возможен по отдельному Договору (NIC-LD).
Мы можем предложить Вам сертификат GeoTrust «True BusinessID Multi-Domain»http://www.geotrust.com/ssl/multi-domain-ssl/
с поддержкой SAN (Subject Alternative Names).Стоимость «True BusinessID Multi-Domain» на 1 год — 9800 рублей (до 5 имен), каждое следующее имя добавляет к стоимости 800 рублей.
—
С уважением,
Секачев Евгений
Региональный сетевой информационный центр (RU-CENTER)
Прошу не считать это рекламой Руцентра. Это мои личные изыскания на эту тему.
P.S. Нашел еще статью в интернете
Установка WildCard SSL сертификата в Exchange 2010
Публикация Exchange 2010 – “сертификация”
Обновлено 24.02.2016 — Статья про бесплатный сертифкат для MS Exchange.