Несколько доменов, несколько сертификатов в exchange как сделать?
Добрый день!
Ранее работал с postfix и dovecot там можно было сделать несколько доменных имен которые обслуживает почтовый сервер а так же несколько записей mx c соответствующими сертификатами(возможно тут неверно выразился). Например, mail.domain.ru на него же подгружен валидный сертификат на данное имя mail.domain.ru, когда я подключаюсь к серверу клиентом битрикс или outlook все ок, а так же делаю проверку к примеру
openssl s_client -connect 192.168.0.6:25 -servername mail.domain.ru -starttls smtp |
openssl s_client -connect 192.168.0.6:25 -servername mail.domain.ru -starttls smtp
Я вижу валидный сертификат выпущенный для домена mail.domain.ru.
Когда я тоже самое делаю с доменом mail.superdomain.ru то после проверки я так же вижу сертификат для домена mail.superdomain.ru все клиенты работают никто не ругается на невалидный серт.
Что у меня не получается в exchange а именно ничего из выше изложенного.
В разделе сертификаты я загрузил сертификаты для доменных имен, но Там нельзя выбрать несколько сертификатов которые будут обслуживать pop imap. Для pop и imap может быть выбран только один сертификат. для smtp может быть несколько. Но даже после подгрузки сертификата включение на нем smtp, я делаю проверку и у меня показывает самоподписанный сертификат что был создан при установки, но не как не те что подгрузил в зависимости от имени mail.superdomain.ru или mail.domain.ru.
Чешу свою почти лысую голову гуглю мануалы что то читаю но найти не могу. Может он вообще так не может? и необходимо выпускать сертификат на какое то универсальное имя сервера которое и нужно будет в итоге указывать в клиентах один и тот же?
Без сертификата или с самоподписанным сертификатом приложения сейчас не работают. тот же outlook постоянно всплывает окно о том что серт не валидный.
Дополнительно:
Покажите вывод Get-ExchangeCertificate
у вас в Exchange добавлено несколько доменов (как обычные accepted domains) - для чего вам для каждого из них сертификат? чтобы что? И AD у вас явно с единственным доменом.
У Exchange Server минимально достаточно выставить наружу 25 и 53 порты для общения с внешним миром - там сертификат не нужен, в DNS он тоже никак не впиливается - нужно только правильно настроить все необходимые записи (MX, SPF, DMARC, DKIM и т.д.).
При подключении клиентов проверяется сертификат сервера, особенно, если вы полагаетесь на Autodiscover. Но вместо Autodiscover можно явно использовать SRV-записи вида "_autodiscover._tcp.domain1.ext" для всех accepted domains, а в сертификате оставить имя только основного домена. В таком случае в Outlook появится предупреждение о переадресации, которое можно отключить.
Я так понимаю - у вас проблема с подключением клиентов. Тогда нужны подробности - кто, откуда, куда, как?
Еще как вариант - наймите знающего инженера, который вместе с вами выполнит настройки
Ответы:
Включить в сертификат все доменные имена (в SAN). После установки сертификатов перезапустить IIS и Exchange Transport
Покупать один сертификат со всеми нужными доменами в SAN
- Да, но тогда в сертификате будут все доменные имена видны всем кому не лень. Так не пойдет. мне хотелось бы чтобы они были независимы. один серт один домен.
- dobromin, значит вам придется разносить домены по разным инстансам Exchange, либо колхозить проксирование для каждого домена haproxy или чем-то подобным, что умеет терминирование ssl. Другого пути нет - это стандартный подход, MS не делает свои протоколы для людей со странными запросами.
- Alexey Dmitriev, разным инстансам Exchange это типа как с mssql новая установка в новый инстанс?
как (или может где могу прочитать) понять по какому порту протоколу адресу или доменному имени коннектятся exchange клиенты? свой порт какой то? или протокол? - dobromin, это отдельные серверы с отдельными Exchange серверами.
- dobromin,
как (или может где могу прочитать) понять по какому порту протоколу адресу или доменному имени коннектятся exchange клиенты? свой порт какой то? или протокол?
так официальную документацию никто вроде не забанил - Network ports for clients and mail flow in Exchange
- dobromin, кроме портов и протоколов у сервисов Exchange должны быть правильно настроены External URL и Internal URL
- хм, пока мысль такая что я nginx - ом могу это легко раскидать + получить еще много разных вич.
- dobromin, для чего вам для каждого домена сертификат? чтобы что?
- Роман Безруков, чтобы инфа между одним доменом и другим не пересекалась.
- dobromin,
чтобы инфа между одним доменом и другим не пересекалась
какая инфа? судя по предоставленным вводным данным - у вас AD с единственным доменом и единственный сервер Exchange. При такой конфигурации неважно, сколько доменов-получателей вы добавили в Exchange - вся почта лежит на одном почтовом сервере. Хорошо, если почту для каждого домена-получателя вы кладете в отдельную почтовую базу...
Чтобы инфа хоть как-то не пересекалась, надо:
- Учетные записи пользователей/сервисов разных доменов-получателей разнести по разным OU.
- На каждый такой OU (который соответствует домену-получателю) должна действовать собственная адресная политика.
- Настроить Autodiscover, SRV-записи и т.д.
Спрошу еще раз - у вас проблема с подключением клиентов с разными почтами к одному серверу или что? как подключаются клиенты - снаружи, изнутри, MAPI, IMAP?P.S. а сертификаты вы с закрытым ключом импортировали (PFX, P12) или без (обычный CER/CRT)?
- Роман Безруков, извне. PFX
Но с сертификатами разобрался, он так не умеет, нужно все в один складывать, но это не подходит.
да фиг с ними пусть в одном домене ничего разносить не надо. мне для внешних.
какая разница сколько ексченж внешние об этом не знают, кроме ип и то это можно хоть каждый порт на отдельный ип повесить уж не говоря про домен. мне хотелось домены с сертификатами разные силами эксченж сделать, но вижу так нельзя.
Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.
Пока нет других ответов. Будьте первым, кто поможет автору.
Ответить на вопрос
Для добавления нескольких доменов и нескольких сертификатов в Exchange Server, вам потребуется выполнить следующие шаги:
1. Создайте запрос на сертификат для каждого домена, который вы хотите добавить. Для этого можно воспользоваться утилитой OpenSSL или обратиться к своему поставщику SSL-сертификатов.
2. После получения сертификатов, установите их на сервер Exchange. Для этого откройте консоль управления Exchange и перейдите в раздел "Серверы" -> "Сертификаты". Нажмите на кнопку "Добавить сертификат" и выберите файл сертификата для загрузки.
3. После загрузки сертификата, укажите привязку сертификата к конкретному домену. Для этого выберите сертификат из списка и нажмите на кнопку "Редактировать". В открывшемся окне укажите домен, к которому привязывается сертификат.
4. Повторите шаги 2 и 3 для каждого дополнительного домена и сертификата.
5. После добавления всех необходимых сертификатов и привязок, необходимо настроить DNS-записи для каждого домена, указывая на сервер Exchange.
6. После завершения всех шагов, перезапустите службы Exchange Server для применения изменений.
Приведенные выше шаги помогут вам добавить несколько доменов и сертификатов в Exchange Server, обеспечивая безопасное и надежное соединение с вашими серверами.