Exchange 2007 之给Exchange办个证

struggle

本篇不讲技术，而是谈一些浅显的入门概念, 关于整个申请，安装，导出证书的技术部分，前面有版主们贴过帖子，我就不提了。高手们请直接掠过。


Exchange 2007 在缺省安装完成之后，使用的是Self-cert, 这类证书不为客户端所信任。每次访问，计算机都会跳出警告。这就好比拿着你给自己发的好儿童奖状去求职，结果只能是被人家保安踢出来。。。所以，我们需要找个权威给Exchange 办个证，让客户端信任它。这两类权威是我们经常遇到的，一个是Public CA，一类是Windows CA.

======================
办个证？这还不容易，到处都是小广告，办证请拨139xxxxxxxx，按1选 VeriSign, 按2选Thawte，按三选 GlobalSign，...... 按9选Windows CA。

更多选择请看：
http://support.microsoft.com/default.aspx/kb/931125

======================

公网证书(Public CA certificate)的优点是：

1. 根证书缺省被所有计算机信任。省去了往客户端比如域外的机器，手机等设备上发布证书的麻烦。
2. 无需自己维护证书服务器。

缺点：
需要花钱问Public CA来购买证书。这点后面会详细讨论。


在域内建Windows CA的优点是：
1. 完全由自己控制，自由度很大。可以自由控制证书的年限，FQDN，加密长度等。（Windows 标准版有些限制）
2. 免费。

缺点：
1. 如果客户端不在域内，比如没有加入域的计算机，手机等，这些设备缺省不信任Windows CA的根证书，因此需要另外发布根证书去每个客户端。（如果是域内客户端，则不存在这个问题）。如果内部客户端情况复杂，做起来会相当的麻烦。

2. 需要自己来维护CA服务器，如果你的CA服务器坏了还没备份，证书又快要过期了，那就意味着无穷的噩梦。。。


上面说到，如果要在Exchange 2007上启用正常的OWA和RPCoverHTTPs功能，需要另外购买公网证书或者安装Windows CA。但是值得注意的是，和Exchange 2003不同，Exchange 2007的很多功能，比如离线地址簿下载，都需要依靠autodiscover服务来引导，因此除了缺省的OWA的FQDN外，证书还需要为autodiscover服务的FQDN做保证。

======================
让人郁闷的是，autodiscover服务的FQDN是写死的，一定要符合下面两个格式之一:
autodiscover.<SMTP domain>
<SMTP domain>

比如OWA的公网FQDN为 Webmail.contoso.com, 则缺省情况下，证书需要为以下两个FQDN服务:

Webmail.contoso.com
autodiscover.contoso.com

======================

于是，如果选择购买公网证书的话，选择的时候就要小心了，普通SSL证书只支持一个FQDN，不能满足需求。需要购买支持SANs (Subject Alternative Names)或者那种支持所有子域的证书。根据法律规定，这样的证书必须一个证书配一台物理机，有几台就买几个证书（注意，这是个法律问题，不是技术问题！）。比如，比较简单的拓扑结构，需要放一台ISA, 两台CAS服务器，一共三个证书，这的话价钱就上去了。我算过，大约一年至少也要2000美金。


省钱小贴士：

如果你的客户端都是Outlook 2007 SP1以上，那么恭喜你，有个方法可以为你省钱。你只需要购买一个最简单的SSL证书就足够了。详细见:
http://support.microsoft.com/default.aspx/kb/940881

这个方法的好处是，你只需要为你的OWA申请一个证书 (webmail.contoso.com)，而且从法律上讲，这样的一个证书可以被ISA和多个CAS服务器使用，算起来，一年期的证书最多200美金一个，还有卖150的，真是划算极了。

所以，要我来选择，如果你的公司不是很巨型的那种，到Public CA那里办个证完全能够满足需求而且还经济实惠。

鸪灵

感谢分享