Сертификат для Exchange Server 2016?

Question

[snoopik6]

Доброго времени, не подскажите какой тип сертификата нужен на Exchange Server 2016? Может есть возможность получить бесплатный публичный сертификат? Спасибо.

Answer 1

[akelsey]

LetsEncrypt публичный, бесплатный.

Comments

[snoopik6]

Есть какие нибудь ограничения (взлом, спамеры)? Необходимо ли еще устанавливать DKIM, делать SPF запись?

[akelsey]

snoopik6, к сертификату это никакого отношения не имеет. А так общие меры применимые к почте и её чистоте всегда приветствуются.

[d-stream]

snoopik6,

Есть какие нибудь ограничения

Достаточно короткий срок действия. Соответственно по получению стоит сразу озаботиться автоматизацией его обновления - в инете есть море примеров скриптов.
Ну или покупать долгосрочные сертификаты за деньги.

[snoopik6]

akelsey, Добрый день, не подскажите в веб интерфейсе убрать либо отключить избранное? И можно ли через ECP сделать? Спасибо

[akelsey]

snoopik6, такой опции нет к сожалению, или я о ней не знаю.
Либо каждую папку - убрать из избранного (сама папка останется пустой), либо залезать в интерфейсы OWA и в коде убирать, комментить вывод избранного (и при каждом обновлении повторять)

Answer 2

[Кот Абсолютный]

Есть какие нибудь ограничения

Есть :)

Не слушать энтузиастов LE. Потому что работать НЕ будет. Всюду - будет. А с эксчем - не будет :) Потому что хитромудрый M$ заложил такую штучку с ручкой, которую не знают энтузиасты LE (а не знают они ее потому что LE не испольузется на эксче) - для того, чтобы сертификат работал на эксче, нужно, чтобы у него в SAN было прописано его внешнее имя, например ruchka.zhopa.ru и "специЯльное" имя для эксча - autodiscover (в данном случае - autodiscover.zhopa.ru).
Если имени autodiscover в SAN нет - скорее всего сертификат не заработает.

Так что либо генерить самому либо покупать (а стоит такой недешево).

Comments

[akelsey]

ну сколько можно уже распространять это заблуждение?

[Кот Абсолютный]

akelsey, В чем здесь заблуждение?

[akelsey]

CityCat4, ну в том что LetsEncrypt сертификат почему то не будет работать на эксчендж.
Это нормальная практика для Exchange заказывать сертификат как минимум 2 SAN's:

autodiscover.mydomain.com
webmail.domain.com

ну и не только для Exchange, может и для сайта:
mysite.com
www.mysite.com

Можно заказать вайлдкард, если боитесь пропустить нужную запись. По этому категорично заявлять:

Не слушать энтузиастов LE. Потому что работать НЕ будет. Всюду - будет. А с эксчем - не будет :) Потому что хитромудрый M$ заложил такую штучку с ручкой, которую не знают энтузиасты LE (а не знают они ее потому что LE не испольузется на эксче) - для того, чтобы сертификат работал на эксче, нужно, чтобы у него в SAN было прописано его внешнее имя

Это не правда.

[snoopik6]

Установил LE, работает. Правда для 1 одного домена, сейчас прикручу второй

[Кот Абсолютный]

akelsey, А-аа, а я уже подумал, что использование autodiscover - заблуждение :) Ну, я рад за Вас :)

[akelsey]

CityCat4, что-то я вас вообще не понимаю.
Вы лучше скажите чем отличается фундаментально сертификат от LE против:

Так что либо генерить самому либо покупать (а стоит такой недешево).

Что покупать то? Какая фундаментально разница между подписанным сертификатом:
Active Directory Certification Authority, Letsencrypt CA, self-signed и допустим Thawte CA?
Зачем вы эту мистификацию продолжаете пропогандировать из топика в топик?

Просто по шагам, логически:
Причина: LE => есть ограничения, Следствие: LE => не использовать
Вывод: лучше дорогой купленный или self-signed
Ну где логика то?