我读过这个 ,而且我还没有100%的。
如果我们的Exchange服务器托pipe多个权威域的电子邮件,我是否需要在每个SSL证书上使用匹配的SAN名称?
在我们的设置中,AD域是company.local,大多数人的电子邮件域是company.com,但是我们也有一些电子邮件地址为@ othercompany.com的人。
所以当我购买SSL证书时,我认为我需要:
是对的吗?
除了所需的内部FQDN和服务器名称之外,您只需在证书上的域中安全地访问服务器(例如OWA或ActiveSync)即可。 您的Exchange服务器可以接受任意数量的其他域的邮件,但是如果您只访问mail.acme-widgets.com OWA,那么这是唯一需要在证书上的外部DNS名称。
例如,我们的Exchange服务器接受大约30个域名的邮件,但是我们的证书只包含以下内容(赦免整个Acme Widgets的事情,但是你明白了)。
svr03 (Internal server name) mail.acme-widgets.com (OWA domain) autodiscover.corp.acme-widgets.com (AutoDiscover internal FQDN) autodiscover.acme-widgets.com (AutoDiscover external FQDN) legacy.acme-widgets.com (Legacy domain) svr03.corp.acme-widgets.com (Internal FQDN)
如果我记得正确的话,当我通过Exchange证书向导时,它确实包含了我们所有的辅助域,但我select删除它们。 离开它们不应该受到伤害,如果证书向导默认包含它们,离开它们肯定没有错。
实际上,如果您正确地重新configurationExchange,则只能使用一个域/证书(例如mail.company.com)进行内部和外部访问。 然而,那么你的owa / outlookconfiguration将永远不得不指向这个select的域名。 这是最简单/最便宜的scheme。
此链接可帮助您将Exchange 2010设置为仅使用一个域。 否则,如果你想继续为不同的人使用不同的域名,你需要使用SAN证书。 这可能是昂贵的解决scheme。
对于一切(内部/外部访问)的域名解决scheme,使用StartSsl 完全免费证书1年(每年免费扩展)甚至可以更便宜。 如果一般的公司名称mail.company.com是太大的问题(这可能是一个问题,如果你的员工感到不适合通过访问mail.microsoft.com而来自IBM,反之亦然 – 虽然我怀疑这将是一个问题在你的情况),你总是可以买一些不相关的域名,像公司的名字,如mailserver.com或类似的东西,并使用它。 那么传统公司或新公司的员工都不会投诉。