使用内部 CA 为生产环境发布 Exchange 2007/2010 SAN 证书是否存在严重缺点?
答案1
是的。在非域计算机上工作时需要进行更多设置。
RPC over HTTP 需要受信任的证书。因此,如果您使用自己的证书,则必须在每台将使用此技术的计算机上安装根证书。使用 AD,这不是什么大问题。没有 AD(例如员工家中的计算机),这真的只是一件麻烦事。使用自动发现,大多数用户现在可以轻松设置自己的电子邮件。如果您使用的是自签名证书,情况就不再如此了。
还有一个与安全相关的案例。您不希望用户在外部计算机上使用 OWA 时习惯于点击证书错误。如果证书错误是由中间人攻击引起的,会发生什么情况?
如今证书真的很便宜。我记得我刚刚花了 150 美元购买了 3 年期 SAN 证书。所以只要为证书付钱就行了。