V. 2013 - [решено] Замена/обновление сертификатов Exchange

Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета.

Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен

Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме.

С уважением, ваш призрачный админ, BigMac...

V. 2013 - [решено] Замена/обновление сертификатов Exchange

DJ Mogarych

fascinating rhythm

Сообщения: 6703
Благодарности: 1574

Конфигурация

Профиль | Отправить PM | Цитировать

Привет!

У меня есть несколько вопросов.

1) Будет ли Exchange работать как обычно, если не менять сертификаты?

Почему спрашиваю: у меня весь клиентский трафик (Outlook/OWA) идёт через реверс-прокси, и там настроен SSL offloading. Сейчас всё работает через сертификат wildcard, но его действие заканчивается, и продлевать его не будут.
Планируется перевести всё на Let's Encrypt. Если сертификат поменять на реверс-прокси, то клиентам будет выдаваться нормальный сертификат. Другой вопрос, как будет работать сам Exchange, если к его службам будут привязаны просроченные сертификаты.

2) Какие имена надо вставлять в клиентский сертификат?
mail.example.com
autodiscover.mail.example.com
?

3) Если всё же надо менять сертификаты для служб Exchange (самоподписанные), можно ли сделать их срок действия лет на 10?

4) Есть ли разница для служб SMTP/POP3/IMAP4 и работы почтовой системы, самоподписанный сертификат или нет?

Спасибо!

-------
Powershell 7.x | Powershell 5.1 | ffmpeg (docs)

Отправлено: 13:08, 22-12-2022

DJ Mogarych

fascinating rhythm

Сообщения: 6703
Благодарности: 1574

Профиль | Отправить PM | Цитировать

1) Да, будет, при условии, если клиентский трафик (Outlook/OWA) идёт через реверс-прокси, и там настроен SSL offloading. Другой вопрос, что замучает предупреждениями, так что сертификат лучше перевыпустить.
2) Я сделал mail.example.com и autodiscover.example.com (не уверен, что нужен сертификат для autodiscover при наличии одного сервера, но пусть будет).
3) Если создавать самоподписанный сертификат, то стандартно он создаётся на 5 лет - этого вполне достаточно.
4) Никакой.

Нюанс - если сертификат меняется для IIS, то необходим установить такой же сертификат для Exchange Back End (привязка к порту 444), иначе в OWA, EAC и т. п. будет невозможно зайти.

-------
Powershell 7.x | Powershell 5.1 | ffmpeg (docs)

Это сообщение посчитали полезным следующие участники:

bredych, Vanadiy777

Отправлено: 14:45, 16-01-2023 | #2