Несколько доменов, несколько сертификатов в exchange как сделать?

Question

[dobromin]

Добрый день!
Ранее работал с postfix и dovecot там можно было сделать несколько доменных имен которые обслуживает почтовый сервер а так же несколько записей mx c соответствующими сертификатами(возможно тут неверно выразился). Например, mail.domain.ru на него же подгружен валидный сертификат на данное имя mail.domain.ru, когда я подключаюсь к серверу клиентом битрикс или outlook все ок, а так же делаю проверку к примеру

openssl s_client -connect 192.168.0.6:25 -servername mail.domain.ru -starttls smtp

Я вижу валидный сертификат выпущенный для домена mail.domain.ru.
Когда я тоже самое делаю с доменом mail.superdomain.ru то после проверки я так же вижу сертификат для домена mail.superdomain.ru все клиенты работают никто не ругается на невалидный серт.

Что у меня не получается в exchange а именно ничего из выше изложенного.
В разделе сертификаты я загрузил сертификаты для доменных имен, но Там нельзя выбрать несколько сертификатов которые будут обслуживать pop imap. Для pop и imap может быть выбран только один сертификат. для smtp может быть несколько. Но даже после подгрузки сертификата включение на нем smtp, я делаю проверку и у меня показывает самоподписанный сертификат что был создан при установки, но не как не те что подгрузил в зависимости от имени mail.superdomain.ru или mail.domain.ru.

Чешу свою почти лысую голову гуглю мануалы что то читаю но найти не могу. Может он вообще так не может? и необходимо выпускать сертификат на какое то универсальное имя сервера которое и нужно будет в итоге указывать в клиентах один и тот же?

Без сертификата или с самоподписанным сертификатом приложения сейчас не работают. тот же outlook постоянно всплывает окно о том что серт не валидный.

Comments

[Роман Безруков]

Покажите вывод Get-ExchangeCertificate

[Роман Безруков]

dobromin, погодите...
у вас в Exchange добавлено несколько доменов (как обычные accepted domains) - для чего вам для каждого из них сертификат? чтобы что? И AD у вас явно с единственным доменом.
У Exchange Server минимально достаточно выставить наружу 25 и 53 порты для общения с внешним миром - там сертификат не нужен, в DNS он тоже никак не впиливается - нужно только правильно настроить все необходимые записи (MX, SPF, DMARC, DKIM и т.д.).
При подключении клиентов проверяется сертификат сервера, особенно, если вы полагаетесь на Autodiscover. Но вместо Autodiscover можно явно использовать SRV-записи вида "_autodiscover._tcp.domain1.ext" для всех accepted domains, а в сертификате оставить имя только основного домена. В таком случае в Outlook появится предупреждение о переадресации, которое можно отключить.
Я так понимаю - у вас проблема с подключением клиентов. Тогда нужны подробности - кто, откуда, куда, как?
Еще как вариант - наймите знающего инженера, который вместе с вами выполнит настройки

[Роман Безруков]

dobromin, в вашем случае можно обойтись одним сертификатом, не добавляя в него дополнительные имена - для этого в Exchange есть Autodiscover Redirect (я вспомнил про него где-то через неделю после своего ответа).
Я такую штуку (Autodiscover Redirect + Outlook Anywhere) как раз для доступа снаружи настраивал еще на Exchange 2013

P.S. если есть какие-то специфичные (частные) ограничения в вашем случае - то вариант с Autodiscover Redirect может не подойти, и остается вариант с добавление всех имен в серт (сталкивался с обоими вариантами)

Answer 1

[Роман Безруков]

Включить в сертификат все доменные имена (в SAN). После установки сертификатов перезапустить IIS и Exchange Transport

Answer 2

[Alexey Dmitriev]

Покупать один сертификат со всеми нужными доменами в SAN

Comments

[dobromin]

Да, но тогда в сертификате будут все доменные имена видны всем кому не лень. Так не пойдет. мне хотелось бы чтобы они были независимы. один серт один домен.

[Alexey Dmitriev]

dobromin, значит вам придется разносить домены по разным инстансам Exchange, либо колхозить проксирование для каждого домена haproxy или чем-то подобным, что умеет терминирование ssl. Другого пути нет - это стандартный подход, MS не делает свои протоколы для людей со странными запросами.

[dobromin]

Alexey Dmitriev, разным инстансам Exchange это типа как с mssql новая установка в новый инстанс?
как (или может где могу прочитать) понять по какому порту протоколу адресу или доменному имени коннектятся exchange клиенты? свой порт какой то? или протокол?

[Alexey Dmitriev]

dobromin, это отдельные серверы с отдельными Exchange серверами.

[Роман Безруков]

dobromin,

как (или может где могу прочитать) понять по какому порту протоколу адресу или доменному имени коннектятся exchange клиенты? свой порт какой то? или протокол?

так официальную документацию никто вроде не забанил - Network ports for clients and mail flow in Exchange

[Роман Безруков]

dobromin, кроме портов и протоколов у сервисов Exchange должны быть правильно настроены External URL и Internal URL

[dobromin]

хм, пока мысль такая что я nginx - ом могу это легко раскидать + получить еще много разных вич.

[Роман Безруков]

dobromin, для чего вам для каждого домена сертификат? чтобы что?

[dobromin]

Роман Безруков, чтобы инфа между одним доменом и другим не пересекалась.

[Роман Безруков]

dobromin,

чтобы инфа между одним доменом и другим не пересекалась

какая инфа? судя по предоставленным вводным данным - у вас AD с единственным доменом и единственный сервер Exchange. При такой конфигурации неважно, сколько доменов-получателей вы добавили в Exchange - вся почта лежит на одном почтовом сервере. Хорошо, если почту для каждого домена-получателя вы кладете в отдельную почтовую базу...
Чтобы инфа хоть как-то не пересекалась, надо:
- Учетные записи пользователей/сервисов разных доменов-получателей разнести по разным OU.
- На каждый такой OU (который соответствует домену-получателю) должна действовать собственная адресная политика.
- Настроить Autodiscover, SRV-записи и т.д.
Спрошу еще раз - у вас проблема с подключением клиентов с разными почтами к одному серверу или что? как подключаются клиенты - снаружи, изнутри, MAPI, IMAP?

P.S. а сертификаты вы с закрытым ключом импортировали (PFX, P12) или без (обычный CER/CRT)?

[dobromin]

Роман Безруков, извне. PFX
Но с сертификатами разобрался, он так не умеет, нужно все в один складывать, но это не подходит.
да фиг с ними пусть в одном домене ничего разносить не надо. мне для внешних.
какая разница сколько ексченж внешние об этом не знают, кроме ип и то это можно хоть каждый порт на отдельный ип повесить уж не говоря про домен. мне хотелось домены с сертификатами разные силами эксченж сделать, но вижу так нельзя.