Назначение сертификатов на сервисы IIS, SMTP И IMAP.

Ответить
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Назначение сертификатов на сервисы IIS, SMTP И IMAP.

Сообщение cobion »

Доброго времени суток Уважаемые коллеги!
Есть две независимые организации со своим лесом- доменом.

Первая организация: включает уже существующую организацию MS Exchange 2019 состоящая из двух MBX в DAG и на периметре два EDGE. Есть внутренний Enterprise УЦ (выдающий центр сертификации) и купленный публичный *.WildCard сертификат.

Для внутренних BackEnd MBX назначены следующие сертификаты:

1)*.WildCard сертификат назначен на службы IIS и SMTP.

2) *.Common Name и SAN (imaps.domain.ru) от внутреннего УЦ сертификат назначен на службы IMAP и SMTP.

Для пограничного транспорта EDGE:
На EDGE серверах подписка создана и включает так же сертификат от внутреннего УЦ на имя EDGE. Ну либо это может быть так же другой публичный сертификат, выпущенный на имя EDGE, не суть.

Вторая организация: Свеже созданный лес, внедряется новая организация MS Exchange 2016 CU23 состоящая из одного BackEnd сервера MBX и на периметре одного транспортного сервера EDGE. Основная инсталляция завершена и на текущий момент выполняю постинсталляционные настройки, а именно назначение *.WildCard сертификата на сервер MBX и организацию подписки для EDGE. Столкнулся с одной проблемой и вытекающим из нее вопросом:

1) Назначил *.WildCard сертификат на службы IIS и SMTP на BackEnd сервере MBX, далее создал новую подписку на EDGE с тем же *.WildCard сертификатом для службы SMTP и пытаюсь импортировать edge.xml на MBX, в результате чего получаю ошибку вида:

Код: Выделить всё

 New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\install\edge.xml" -Encoding Byte -ReadCount 0)) -Site "spb"

The subscription file failed to load for the following reason: The direct trust certificate of the subscribed Edge Transport server with thumbprint FF04B694A11CFD2D2A2B5A5A0A8A1408F55507D0 is a duplicate of the certificate of one
of the HubTransport servers. Sharing the same certificate between Edge and Hub Transport servers is not allowed.
Насколько я понял из ошибки, я пытаюсь использовать тот же самый *.WildCard сертификат в подписке для EDGE, который уже назначен на службу SMTP на BackEnd MBX сервере и нужно либо одно из трех:

- использовать самоподписанный сертификат сгенерированный самим EDGE

- запросить и выдать по шаблону WebServer свой собственный сертификат от внутреннего УЦ

- использовать другой публичный сертификат на имя EDGE, привязать его на службу SMTP на EDGE и уже выполнить подписку - тогда данной ошибки не будет.

Тогда вопрос:

1) Подскажите, есть ли какие-то более-менее вразумительные рекомендации относительно назначения сертификатов на службы SMTP, IMAP и т.д. Может быть достаточно будет только для IIS *.WildCard сертификата?

2) Тот же вопрос относительно EDGE транспорта- какой сертификат предпочтительнее использовать и в каких случаях?

почитал на технете и других ресурсах- все немного размыто, мысли путаются немного)

3) И еще относительно аутентификации SMTP на MBX - обычно мы отключаем сразу Anonymous Users на receive connectors Default Frontend-коннекторе и используем SMTP только с аутентификацией, даже для принтеров и МФУ, но вот для чего подписывать SMTP и IMAP сертификатами- если я правильно понимаю, для использования SMTPS и IMAPS через TLS/SSL и таким образом шифруя обмен между клиентами, устройствами и почтовыми серверами?

Заранее спасибо за понимание.
Ответить

Вернуться в «Exchange Server 2016»