免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2315 | 回复: 1

Exchange 2007 之给Exchange办个证 [复制链接]

论坛徽章:
0
发表于 2010-10-19 21:07 |显示全部楼层
本篇不讲技术,而是谈一些浅显的入门概念, 关于整个申请,安装,导出证书的技术部分,前面有版主们贴过帖子,我就不提了。高手们请直接掠过。


Exchange 2007 在缺省安装完成之后,使用的是Self-cert, 这类证书不为客户端所信任。每次访问,计算机都会跳出警告。这就好比拿着你给自己发的好儿童奖状去求职,结果只能是被人家保安踢出来。。。所以,我们需要找个权威给Exchange 办个证,让客户端信任它。这两类权威是我们经常遇到的,一个是Public CA,一类是Windows CA.

======================
办个证?这还不容易,到处都是小广告,办证请拨139xxxxxxxx,按1选 VeriSign, 按2选Thawte,按三选 GlobalSign,...... 按9选Windows CA。

更多选择请看:
http://support.microsoft.com/default.aspx/kb/931125

======================

公网证书(Public CA certificate)的优点是:

1. 根证书缺省被所有计算机信任。省去了往客户端比如域外的机器,手机等设备上发布证书的麻烦。
2. 无需自己维护证书服务器。

缺点:
需要花钱问Public CA来购买证书。这点后面会详细讨论。


在域内建Windows CA的优点是:
1. 完全由自己控制,自由度很大。可以自由控制证书的年限,FQDN,加密长度等。(Windows 标准版有些限制)
2. 免费。

缺点:
1. 如果客户端不在域内,比如没有加入域的计算机,手机等,这些设备缺省不信任Windows CA的根证书,因此需要另外发布根证书去每个客户端。(如果是域内客户端,则不存在这个问题)。如果内部客户端情况复杂,做起来会相当的麻烦。

2. 需要自己来维护CA服务器,如果你的CA服务器坏了还没备份,证书又快要过期了,那就意味着无穷的噩梦。。。


上面说到,如果要在Exchange 2007上启用正常的OWA和RPCoverHTTPs功能,需要另外购买公网证书或者安装Windows CA。但是值得注意的是,和Exchange 2003不同,Exchange 2007的很多功能,比如离线地址簿下载,都需要依靠autodiscover服务来引导,因此除了缺省的OWA的FQDN外,证书还需要为autodiscover服务的FQDN做保证。

======================
让人郁闷的是,autodiscover服务的FQDN是写死的,一定要符合下面两个格式之一:
autodiscover.<SMTP domain>
<SMTP domain>

比如OWA的公网FQDN为 Webmail.contoso.com, 则缺省情况下,证书需要为以下两个FQDN服务:

Webmail.contoso.com
autodiscover.contoso.com

======================

于是,如果选择购买公网证书的话,选择的时候就要小心了,普通SSL证书只支持一个FQDN,不能满足需求。需要购买支持SANs (Subject Alternative Names)或者那种支持所有子域的证书。根据法律规定,这样的证书必须一个证书配一台物理机,有几台就买几个证书(注意,这是个法律问题,不是技术问题!)。比如,比较简单的拓扑结构,需要放一台ISA, 两台CAS服务器,一共三个证书,这的话价钱就上去了。我算过,大约一年至少也要2000美金。


省钱小贴士:

如果你的客户端都是Outlook 2007 SP1以上,那么恭喜你,有个方法可以为你省钱。你只需要购买一个最简单的SSL证书就足够了。详细见:
http://support.microsoft.com/default.aspx/kb/940881

这个方法的好处是,你只需要为你的OWA申请一个证书 (webmail.contoso.com),而且从法律上讲,这样的一个证书可以被ISA和多个CAS服务器使用,算起来,一年期的证书最多200美金一个,还有卖150的,真是划算极了。

所以,要我来选择,如果你的公司不是很巨型的那种,到Public CA那里办个证完全能够满足需求而且还经济实惠。

论坛徽章:
0
发表于 2010-10-20 20:41 |显示全部楼层
感谢分享
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP