我有一台运行 Server 2003 R2 和 Exchange 2007 的机器。当最初设置它时(在我之前)安装了一个自签名证书,但是,它即将过期,现在似乎是修复它的好时机。
我的问题是 - 购买证书时,我可以为单个域购买还是需要多个域?机器本身位于硬件网关后面,它是我们唯一的 Exchange 服务器。我们在https://webmail.example.org但是,这应该是我们真正需要正确证书的唯一地方,对吧?难道不应该只对 Exchange 所需的所有内部证书进行自我签名,然后为外部访问购买真正的证书吗?那么从外部保护 SMTP/IMAP 连接呢?
答案1
还取决于您使用什么进行管理(如果有的话);在某些情况下,SCOM 需要证书(我不知道详细信息)。我为托管在 IaaS 站点上的 Exchange 2007 设置了一个证书,最终在证书上有 5 个名称...
检查您的需求。开始的购物清单是:
- 计算机的内部 NetBIOS 网络名称。
- 计算机内部的完全限定网络名称。
- webmail.companyname.com——用于 Outlook Web Access 和 PDA。
- mail.companyname.com——或者如果服务器上有公共 SMTP,则为此服务器在公共 DNS (MX) 中设置的任何名称。
- autodiscover.companyname.com——如果您使用 Office 2007 自动发现。
一些证书供应商有特定的Exchange 服务器说明-- 可能还有其他/更好的交易;我最近没有研究过这个。
答案2
获取“mail.example.org”的单一第三方证书,并通过将 OWA 指向“mail.example.org”使其成为两者的证书。如果您的用户习惯使用“webmail.example.org”,只需重定向它即可。
答案3
在不了解更多信息的情况下,我认为您需要两个证书 - 一个由第三方签名,用于 webmail.example.org,另一个可以自签名,用于 IMAP/SMTP/Exchange 内部流量。
是的,您应该能够自行签署内部证书,特别是因为您可以创建一个 CA 并在用户的计算机上安装该 CA 证书,这样他们甚至不会收到提示。
答案4
至少,您需要包含您的 OWA 名称、内部服务器名称和自动发现名称 (autodiscover.yourdomain.com),以便在较新的电子邮件客户端中启用自动发现。您需要获取统一通信证书才能执行此操作。请参阅http://www.sslshopper.com/article-how-to-use-ssl-certificates-with-exchange-2007.html了解更多信息。