Exchange 2013 SSL 证书需要哪些子域?

Exchange 2013 SSL 证书需要哪些子域?

我需要为 Exchange 2013 服务器订购 SSL 证书。

我要订购加州大学证书科摩多集团

我了解,我需要在订购时指定以下子域名:

  1. 自动发现。
  2. 邮件。

我需要为 Exchange 2013 服务器指定其他子域吗?我之所以问这个问题,是因为加州大学证书允许 3 个子域,所以这让我认为我遗漏了一个。

答案1

是的,通常情况下,如果这是您的 Exchange FQDN,mail那么它就autodiscover就是您所需要的。mail.yourdomain.com

请参阅 Exchange 2013数字证书和 SSL文件指出:

最佳实践:使用 Exchange 证书向导申请证书*

Exchange 中有许多使用证书的服务。申请证书时的一个常见错误是提出申请时未包含正确的服务名称集。Exchange 管理中心中的证书向导将帮助您在证书申请中包含正确的名称列表。该向导允许您指定证书必须与哪些服务配合使用,并根据所选服务包含证书中必须具有的名称,以便证书可以与这些服务配合使用。在部署了初始的 Exchange 2013 服务器集并确定了部署中要为不同服务使用哪些主机名后,运行证书向导。理想情况下,您只需对部署 Exchange 的每个 Active Directory 站点运行一次证书向导。

您不必担心忘记所购买证书的 SAN 列表中的主机名,而是可以使用免费提供的证书颁发机构的宽限期,在此期间,您可以退回证书并使用一些额外的主机名请求相同的新证书。

它进一步指出:

最佳实践:尽可能少使用主机名

除了尽可能少使用证书外,您还应尽可能少使用主机名。这种做法可以节省资金。许多证书提供商会根据您添加到证书中的主机名数量收取费用。

为了减少必须拥有的主机名数量,从而降低证书管理的复杂性,您可以采取的最重要的步骤是不要将单个服务器主机名包含在证书的主题备用名称中。

您必须在 Exchange 证书中包含的主机名是客户端应用程序用于连接到 Exchange 的主机名。以下是名为 Contoso 的公司所需的典型主机名列表:

Mail.contoso.com 此主机名涵盖与 Exchange 的大多数连接,包括 Microsoft Outlook、Outlook Web App、Outlook Anywhere、脱机通讯簿、Exchange Web 服务、POP3、IMAP4、SMTP、Exchange 控制面板和 ActiveSync。

Autodiscover.contoso.com 此主机名由支持自动发现的客户端使用,包括 Microsoft Office Outlook 2007 及更高版本、Exchange ActiveSync 和 Exchange Web 服务客户端。

Legacy.contoso.com 在 Exchange 2007 和 Exchange 2013 共存的情况下,此主机名是必需的。如果您的客户端在 Exchange 2007 和 Exchange 2013 上都有邮箱,则配置旧主机名可以防止用户在升级过程中了解第二个 URL。

答案2

一句忠告。CA 正在逐步停止为 .local 颁发 UC 证书,因此理想情况下,您应该将域名转移到 .com。多域 SSL 证书通常也比 UC 证书便宜,并且很快就会发挥同样的作用。SBS 的标准证书是 mail.contoso.com、remote.contoso.com 和 autodiscover.contoso.com。

对于常规 Exchange 环境,mail.contoso.com 和 autodiscover.contoso.com 是必需的。不要忘记在此处将 autodiscover.contoso.com 添加到您的外部域 DNS 记录中。我见过 owa.contoso.com,但老实说,它不需要。

答案3

要在 Exchange Server 2013 上安装 UC 证书,您需要仔细考虑自动发现、邮件和 OWA 子域。

  • owa.yourdomain.com 需要 Outlook Web Access
  • mail.yourdomain.com 需要邮件服务器的主机名
  • autodiscover.yourdomain.com 分别用于自动配置电子邮件客户端。

在 Exchange Server 2013 上生成 CSR 和配置 SSL 之前,您应该评估您的要求。

相关内容