Как победить Exchange?

Question

[Алексей]

Всем привет! В организации доменная среда .local
Так же имеется Exchange. При подключении клиента к нему outlook постоянно оповещает о том, что "Имя сертификата безопасности недопустимо или не соответствует имени сайта".
Если я правильно понимаю, это потому что сертификат (самоподписанный) выдан для .ru
Как это побеждается? В какую сторону смотреть?
Заранее благодарю!

Answer 1

[CityCat4]

К сертификату для Exchange предьявляются особые требования.

У него обязательно должен быть SAN, потому что в нем (в SAN) должно быть как минимум два имени - org.blabla.bla и autodiscover.blabla.bla. При этом, если предполагается предоставлять доступ к OWA извне - обязательно придется его (сертификат) купить, иначе не видать Вам почты на мобильных клиентах :)

Самоподписанный сертификат должен совпадать с именем, на котором работает эксч - а как иначе? и иметь в SAN autodiscover. Ну то есть, если контора имеет домен ktoto.local, а сервер exch.ktoto.local, то сертификат должен включать имена exch.ktoto.local и autodiscover.ktoto.local. Если же хотите еще и внешний доступ - то эксч должен работать на домене ktoto.ru, и соответственно сертификат должен включать имя autodiscover.ktoto.ru.

Эксчевские сертификаты недешевые - от десятки рублей.

Comments

[Rsa97]

Эксчевские сертификаты недешевые - от десятки рублей.

Прекрасно работает на бесплатном wildcard-сертификате от Let's Encrypt.

[Алексей]

Rsa97, а прописать в нем один и тот же домен с суффиксами .ru и .local реально? И решит ли это мою проблему?

[Rsa97]

Алексей, Нет. Сертификат даётся только на один домен. Для wildcard-сертификата вы должны подтвердить владение через добавление в DNS записи, которую увидит сервер Let's Encrypt. Зону local таким образом подтвердить невозможно.

[Alexey Dmitriev]

Rsa97, сертификат выдается на любое количество доменов через поле SAN. Вот только подтвердить владение .local не получится, поэтому выдать на .ru и .local не получится.

[CityCat4]

Rsa97, Сертификат дается на любое количество доменов. Просто те, кто упарывается по LE, любят создавать сами себе проблемы. Зачем - непонятно. Если для бизнеса критично тратить 10 тыс. рублей один раз в год - это смешной бизнес...

[CityCat4]

Алексей, Ну выпустите сами себе сертификат с нужным количеством имен да проверьте. Вся разница в самоподписанном сертификате - в его непризнании браузерами - придется его добавлять в корневые и на самом сервере эксча и на всех клиентах.

У меня свой CA. При необходимости я в нем выпускаю сертификат для эксча. Но тогда отваливается внешняя почта, особенно на мобилах - там проблема с признанием этого сертификата. Поэтому я предпочитаю покупать SAN-сертификат.

Answer 2

[Sasha Odarchuk]

1) выясните на какое имя выдан сертификат
2) "переведите" Exchange на использование FQDN в .ru

Comments

[Алексей]

Sasha Odarchuk 1) Сертификат выдан для .ru, а у домена суффикс .local
2) Если не затруднит, можно поподробней? Ранее не сталкивался с таким

[Saboteur]

Как бы можно догадаться, что сертификат должен соответствовать домену на котором работает Exchange.
FQDN - fully qualified domain name

Answer 3

[Mitsuka]

И как решился вопрос в итоге? Мне тут достался Exchange с не работающей owa. Хочу поднять. Начал с сертификата, но не идет пока. Как раз проблема в том что получил серт на *.company.ru, а внутри сервак называется mail.othercompany.ru и при подключении снаружи, ругается именно на mail.othercompany.ru. А при подключении снитри, то ругается на *.company.ru. Не пойму, как получать сертификат, чтобы можно было еще добавить туда SAN

Comments

[Алексей]

Mitsuka Вопрос решился сменой FQDN с .local на .ru
"Источник вдохновения" ниже
https://www.dmosk.ru/miniinstruktions.php?mini=exc...