通配符SSL证书与Exchange 2010？

Question

有人使用Exchange2010通配符证书吗？

我们目前有一堆单独的whatever.domain.com SSL证书，而且随着几个证书即将到期，这将是一个转移到通配符证书的理想机会。

不过，在某个时候，我们将从Exchange 2003转移到Exchange 2010，而且我已经看到了关于通配符证书是否与Exchange 2010一起工作的相互矛盾的报告，因为许多指南似乎都推荐使用UCC/SAN证书。

我们的内部DNS域名与外部域名相同。

Go爹地看起来像一个好的VFM，因为他们允许在无限物理服务器上使用。

提前谢谢。

Answer 1

与我迄今所见，2010年的证书和交换令人头痛。

我们现在已经有了2010年的实验室，并认为我们将能够逃脱一个通配符SSL证书的设备访问从互联网，然后一个企业CA签署的机器证书(由ADCS颁发)，为每个2010年服务器的内部访问。

我们使用TMG 2010作为边缘传输服务器，因此SSL证书将位于该服务器上，然后TMG和Ex2010 CAS之间的连接将在域内，因此由Enterprise保护。

今天早上才起作用的，但我想会有效果的。如果您的CAS正在处理来自互联网的连接，那么ymmv。不过我会看这个问题的！

Answer 2

通配符和UC证书用于完成两项不同的任务。如果您有多个域，并且您正在使用Exchange服务器，那么UC证书就是方法之一。如果您只有不同的子域，那么通配符将工作，但这是例外。我们在ssl.com的大多数客户端都有许多域名，包括内部服务器名，所以uc (或SANS)证书是最常用的。还请注意，如果需要这两者的灵活性，您可以在ucc中嵌入通配符。

至于每种类型的价值，每个客户都必须自己得出。当一个客户可能认为这是一次竞争时，另一个客户可能会发现它在ssl管理时间中节省了无数个小时。你决定吧。

Answer 3

到目前为止，我们遇到的唯一真正问题是某些Outlook客户端。基本上，我们必须添加一个设置来指定证书，它起了作用：

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

自动发现似乎会将证书名称设置为blah.domain.com，并且由于它与*.domain.com不匹配，所以会发出抱怨。如果手动在Outlook客户端中设置上述内容，则会通过。注意-我们还没有完成从Exch 2003的迁移，所以我们可能会遇到更多的问题。不过，到目前为止，这是唯一一个。