有人在 Exchange 2010 中使用通配符证书吗?
我们目前拥有一堆单独的 whatever.domain.com SSL 证书,其中许多证书即将到期,因此现在是转向通配符证书的理想时机。
虽然在某个时候我们会从 Exchange 2003 迁移到 Exchange 2010,并且我读过关于通配符证书是否适用于 Exchange 2010 的相互矛盾的报告,因为许多指南似乎推荐使用 UCC/SAN 证书。
我们的内部DNS域名与我们的外部域名相同。
Godaddy 看起来像好的 VFM,因为它们允许在无限制的物理服务器上使用。
提前致谢。
答案1
从目前所见来看,证书和 Exchange 2010 令人头疼。
我们现在在实验室中有 2010 个,并且认为我们将能够使用通配符 SSL 证书来从互联网进行设备访问,然后为每个 2010 服务器提供企业 CA 签名的机器证书(由 ADCS 颁发)以供内部访问。
我们使用 TMG 2010 作为边缘传输服务器,因此 SSL 证书将位于那里,然后 TMG 和 Ex2010 CAS 之间的连接将位于域内,因此由企业 CA 保护。
今天早上才开始工作,但我认为它会起作用。如果你的 CAS 正在处理来自互联网的连接,那么 ymmv。不过我会关注这个问题!
答案2
通配符和 UC 证书旨在完成两件不同的事情。如果您有多个域并且正在使用 Exchange 服务器,那么 UC 证书是最佳选择。如果您只有不同的子域,那么通配符将起作用,但这是例外。ssl.com 的大多数客户都拥有多个域名(包括内部服务器名称),因此 uc(或 SANS)证书是最常选择的证书。另请注意,如果您需要两者的灵活性,您可以在 ucc 中嵌入通配符。
至于每种类型的价值,每个客户都必须自己得出。一个客户可能认为这是骗局,另一个客户可能发现它节省了无数的 SSL 管理时间。你决定。
答案3
到目前为止,我们遇到的唯一真正问题是某些 Outlook 客户端。我们基本上必须添加一个设置来指定证书,然后它就起作用了:
http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx
似乎自动发现会将证书名称设置为 blah.domain.com,Outlook 会抱怨,因为它与 *.domain.com 不匹配。如果您在 Outlook 客户端中手动设置上述内容,则它会通过。注意 - 我们尚未完成从 Exch 2003 的迁移,因此我们可能会遇到更多问题。不过这是迄今为止唯一的问题。