我读了这,但我对此还不是 100% 确定。
如果我们的 Exchange 服务器托管多个权威域的电子邮件,我是否需要在每个域的 SSL 证书上匹配 SAN 名称?
在我们的设置中,AD 域是 company.local,大多数人的电子邮件域是 company.com,但我们也有一些人的电子邮件地址是 @othercompany.com。
因此,当我购买 SSL 证书时,我假设我需要:
- 邮件公司
- autodiscover.company.com
- legacy.company.com
- mail.othercompany.com
- autodiscover.othercompany.com
- legacy.othercompany.com
是对的吗?
答案1
除了所需的内部 FQDN 和服务器名称外,您只需要证书上需要安全访问服务器的域(例如 OWA 或 ActiveSync)。您的 Exchange 服务器可以接受任意数量的其他域的邮件,但如果您只访问 OWA,那么mail.acme-widgets.com这是证书上唯一需要的外部 DNS 名称。
举例来说,我们的 Exchange 服务器接受大约 30 个域的邮件,但我们的证书上只有以下内容(原谅整个 Acme Widgets 的事情,但您明白我的意思)。
svr03 (Internal server name)
mail.acme-widgets.com (OWA domain)
autodiscover.corp.acme-widgets.com (AutoDiscover internal FQDN)
autodiscover.acme-widgets.com (AutoDiscover external FQDN)
legacy.acme-widgets.com (Legacy domain)
svr03.corp.acme-widgets.com (Internal FQDN)
如果我没记错的话,当我浏览 Exchange 证书向导时做过包括我们所有的辅助域,但我选择删除它们。保留它们应该不会有什么坏处,如果证书向导默认包含它们,保留它们肯定没有错。
答案2
实际上,如果您正确地重新配置 Exchange,则可以只使用一个域/证书(例如 mail.company.com)进行内部和外部访问。但是,您的 owa/outlook 配置将始终必须指向这个选定的域名。这是最简单/最便宜的方案。
这关联可以帮助您设置 Exchange 2010,使其仅使用一个域来处理所有事务。否则,如果您想继续为不同的人使用不同的域名,则需要使用 SAN 证书。这可能是一种昂贵的解决方案。
通过使用一个域名解决方案,所有内容(内部/外部访问)甚至可以更便宜完全免费证书StartSsl有效期为 1 年(每年免费延长)。如果通用公司名称mail.company.com是一个大问题(如果您的员工在 IBM 访问 mail.microsoft.com 时感觉不对劲,反之亦然,这可能是一个问题 - 虽然我怀疑这对您来说不会是一个问题),您可以随时购买一些与公司名称无关的域名,例如mailserver.com或类似的域名并使用它。这样,无论是原公司还是新公司的员工都不会抱怨。