Сертификаты для MS Exchange 2010

On 07/07/2012, in Exchange, by Алексей Волобуев

В данном блоге будут изложены мои мысли насчет сертификатов для работы MS Exchange 2010.

Как известно, в процессе установки MS Exchange 2010, для служб IIS, SMTP, IMAP создается самоподписанный сертификат. Он используется для шифрованных соединений. Основной плюс, создается сам и не требует денег для создания. Минус везде, где толко можно пишется, что сертификат выдан недоверенным центром сертификации, особенно это бросается в глаза при использовании Outlook Web Acces ( OWA). Особенностью использования сертификатов еще и в том, что для внешних пользователей (пользователей, обращающихся с внешней сети Интернет) MS Exchange 2010 представляется одним именем, а для внутренней сети другим. Причем во внутренней сети, домен может быть нестандартный, например office.local.  Поиски по данному вопросу привели меня к следующим решениям:

  • Чтобы не было предупреждений о том, что сертификат выдан недоверенным центром сертификации, необходимо, чтобы этот самый центр сертификации находился на ПК в доверенных центрах сертификации.
  • Стандартные сертификаты могут использовать только одно имя (не берем в расчет WildCard сертификаты), поэтому они использоваться не могут.
  •  Нужен сертификат, который в себе содержал бы несколько имен. Для этого требуется сертификат, который содержит в себе поле SAN (Subject Alternative Names)/
  • Нужен Центр Сертификации, котрый бы удостоверял бы такие сертификаты.

Была найдена статья на сайте Майкрософт, из которой следует, что для подписи таких сертификатов рекомендуется использовать 3 центра сертификации

Центр сертификации Веб-узел
Entrust http://www.entrust.net/microsoft/
Comodo http://www.comodo.com/msexchange
DigiCert http://www.digicert.com/unified-communications-ssl-tls.htm

 

 

 

На сайте DigiCert есть даже конфигуратор команды, для создания запроса на новый сертификат.

Например, необходимо создать запрос на сертификат со следующими параметрами:

  • Основное имя — mail.domain.com
  • Дополнительные имена — autodiscover.domain.com, mx.domain.com, mail.office.local, autodiscover.office.local
  • Организация — ООО «Рога и Копыта»
  • Департамент — ИТ
  • Город — Москва
  • Строна — Россия
  • Длина ключа — 2048

Вбиваем данные в соответсвующие поля (на английском языке):

Нажимаем клавишу Generate, получаем сформированный запрос, который необходимо вставить в консоль Exchange Management Shell .

New-ExchangeCertificate -GenerateRequest -KeySize 2048 -SubjectName "c=RU, s=, l=Moscow, o=Roga i Copyta LLC, ou=IT, cn=mail.domain.com" -DomainName autodiscover.domain.com, mx.domain.com, mail.office.local, autodiscover.office.local, mx.office.local -PrivateKeyExportable $True

 

Я бы его дополнил еще параметром -Path, с указанием куда писать запрос на сертификат.

New-ExchangeCertificate -GenerateRequest -KeySize 2048 -SubjectName "c=RU, s=, l=Moscow, o=Roga i Copyta LLC, ou=IT, cn=mail.domain.com" -DomainName autodiscover.domain.com, mx.domain.com, mail.office.local, autodiscover.office.local -PrivateKeyExportable $True -Path c:\certificates\mail.domain.com.req

Немного о финансах.

Так как мы работаем в России, а Центры Сертификации иностранные, то неизбежно возникнут вопросы с бухгалтерией. Я обзвонил, написал письма, несколько компаний, который торгуют сертификатами в России (Рег.ру, Руцентр, ХЦ). Только в Руцентре мне смогли ответить на мой вопрос, везде тех. поддержка компаний говорил, что не предоставляет таких сертификатов, либо терялась, когда я спрашивал про сертификаты с SAN.

Вот цитата из письма от руцентра:

Добрый день, Алексей!

Чтв Июн 21 16:30:55 2012,  писал:
> Меня интересует SSL сертификат, который я могу использовать в exchange
> 2010 для сервисов SMTP, IMAP, IIS.
> Также в поле SAN сертификата мне необходимо указать дополнительные
> доменные имена.
>
> Вы можете предоставить такой сертификат?
>

Выпуск сертификатов с поддержкой SAN возможен по отдельному Договору (NIC-LD).
Мы можем предложить Вам сертификат GeoTrust «True BusinessID Multi-Domain»

http://www.geotrust.com/ssl/multi-domain-ssl/
с поддержкой SAN (Subject Alternative Names).

Стоимость «True BusinessID Multi-Domain» на 1 год — 9800 рублей (до 5 имен), каждое следующее имя добавляет к стоимости 800 рублей.


С уважением,
Секачев Евгений
Региональный сетевой информационный центр (RU-CENTER)

Прошу не считать это рекламой Руцентра. Это мои личные изыскания на эту тему.

P.S. Нашел еще статью в интернете

Установка WildCard SSL сертификата в Exchange 2010

Публикация Exchange 2010 – “сертификация”

 

Обновлено 24.02.2016 — Статья про бесплатный сертифкат для MS Exchange.

Tagged with:  

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *