Задать вопрос
@rnwk

Можно ли сократить количество SAN записей в сертификате?

Добрый день. Планируем купить коммерческий сертификат на exchange. На данный момент имеются 7 доменов, все сайты с сертификатами, есть внешний айпи, который резолвит mail.домен1(ptr запись). На почтовом сервере используется сертификат, выданный доменным центром сертификации, в SAN указаны сами домены + 7 "autodiscover.домен" + локальное имя сервера. Можно ли как-то средствами dns сократить количество записей, в идеале чтобы были только owa.домен1, mail.домен1, autodiscover.домен1?
  • Вопрос задан
  • 103 просмотра
Подписаться 2 Простой Комментировать
Решения вопроса 1
akelsey
@akelsey
При большом кол-ве accepted domains всего три способа:

1. Постоянно добавлять новые домены SAN в сертификатах как вам уже объясняли все (но при копеечной стоимости домена, стоимость сертификата растет просто в диких размерах)
2. Использовать SRV запись
3. Использовать механизм http-redirect на единыое пространство имён.

Т.е. с первым случаем вы столкнулись, вам уже это не понравилось, идём ко второму.
Второй способ выглядит вроде заманчиво, и наименее затратно, но тут есть нюанс, первое это самый медленный способ, т.к. служба автообнаружения использует SRV на самом последнем этапе, и хуже того могут не поддерживатся какими то устройствами, т.е. приемлемо только для аутлюков.
Третий способ использовать вебсервер с редиректом на единое пространство имен, т.е. когда на вебсервере создается ресурс слушающий все эндпоинты вашего автодискавера, т.е.:
autodiscover.bank.ru
autodiscover.insurance.ru
autodiscover.shop.ru
и т.д.
и отдает 302 редирект на autodiscover.mymail.ru на который вы купили сертификат с нужными SAN или wildcard *.mymail.ru...

Как-то так.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Что мешает купить wildcard сертификат на домен1?
Ответ написан
@rnwk Автор вопроса
wildcard выдаётся на один домен с поддоменами. *domain1.ru, у меня же domain1.ru, domain2.ru, domain3.ru и т.д.
Чем мне это поможет?
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
//COPY01 EXEC PGM=IEBGENER
Нет. На каждый домен, который используется в почте нужно иметь SAN autodiscover.домен.имя - иначе работать не будет - думаете просто так регистраторы ввели специальный тип "сертификаты для Exchange"? они тоже об этом знают ;)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы