web-dev-qa-db-ja.com

ワイルドカードSSL証明書-Exchange 2010-POP / IMAPの問題

以前は、主要ドメインのgodaddyにワイルドカードSSL証明書をリクエストしていました。その理由の1つは、新しく確立されたExchange Server 2010でした。通常、証明書に含まれる次の名前が必要です。

  • FQDN(例:mail.whatever.com)
  • ホスト名(メール)
  • ドメイン名(whatever.com)
  • Autodiscover.whatever.com
  • MXレコード

ワイルドカード証明書では、これらはすべてカバーされます(ローカルホスト名を除く)。 ssl証明書の作成/ Exchange 2010へのインポート中に、ワイルドカード証明書が使用されているかどうかを最初に確認し、次にエラーが発生する->証明書がワイルドカード証明書であり、特にFQDN、SSLのPOP用に生成された証明書ではないためIMAPを提供できません。

グーグルでこれに対する回避策や解決策を見つけることができなかったので、多分ここの誰かが私のための答えや解決策を持っていると思います! :)

exchange 2010は、Windows Server 2008 R2エンタープライズで実行されています。

よろしくお願いいたします。

4
Sise

残念ながら、あなたの最善の選択肢はUC証明書を取得することです。これは、ワイルドカードを破棄し、新しいものを完全に購入することを意味します。同様の質問については、私の回答 [〜#〜]こちら[〜#〜] を参照してください。

1
DanBig

ブー、UC証明書は通常の証明書よりも大きな詐欺であり、主にNATのためにのみ必要です。 IPv6が広く使用されるようになり、すべてのコンピューターに1つのtrueアドレスがある場合、サーバーはファイアウォールの内側と外側の異なるアドレスに解決する必要がないため、これらはほとんど問題になります。

同じホスト名でプライベート(RFC1918)アドレスを内部ユーザーに提供し、サーバーのパブリックアドレスを外部ユーザーに提供する両面DNSシステムを使用している場合、これは非常に簡単に処理できます。たとえば、内部サーバーからのmail.example.comは10.0.0.11を返し、外部サーバーからは208.65.70.82を返します。したがって、内部でサーバーに接続するときは、mail.example.comを使用します。

すべてのエクスチェンジサービスの内部URLを外部URLと同じになるように変更する方法を説明する Microsoft KB Article 940726 をご覧ください。サブジェクトの別名をサポートする証明書を「使用できない」人のためのこの「回避策」を具体的に引用しています。正直なところ、IPv6が一般的になるにつれて、この構成はExchangeの次の1つまたは2つのバージョンでデフォルトになると思います。

また、mail.example.comはファイアウォールの内側と同じサーバーに解決されるため、モバイルユーザーにとってこれは本当に素晴らしいこともわかりました。特に、サポートしていないクライアントでIMAPなどのプロトコルを使用している場合は、Nice 「Outlook Anywhere」。

POP/IMAPの問題については Microsoft KB Article 948896 をご覧ください。基本的には、X509CertificateNameを、ユーザーが(Set-ImapSettings -X509CertificateName mail.example.comを使用して、またはGUIを介して)サービスにアクセスするFQDNに設定し、Enable-ExchangeCertificateコマンドを使用して証明書をIMAPサービスに具体的に割り当てません。

3
joshperry

実際、imapとpopにワイルドカードを使用できます。ここにrtfm: http://technet.Microsoft.com/en-us/library/aa997231.aspx

:)

2
Mike

ユニファイドコミュニケーション(UCまたはSANS)証明書内でワイルドカードを使用できるため、多くのオプションと汎用性があることに注意してください。 Exchangeでワイルドカードを使用してPOPとSMTPを動作させる際に問題が発生しているという投稿を数多く目にしました。したがって、おそらくUC証明書内でワイルドカードを使用することは、適切な妥協案です。

2
Leo Grove