Exchange & SSL Certificates for Internal Server Names

Cum in ultimul timp am fost putin mai deconectat de tehnologie mi-au scapat cateva anunturi importante cum ar fi cel de aici:

http://www.digicert.com/internal-names.htm?SSAID=314743

Sau:

http://support.godaddy.com/help/article/6935/phasing-out-intranet-names-and-ip-addresses-in-ssls

Care in mare spun ca nu se vor mai emite certificate pentru nume de domenii gen .local sau .internal sau doar pentru un hostname, iar cele emise vor fi invalidate din 2016. Iar asta e cam dificil atunci cand in certificatul de tip SAN pentru Exchange ai nevoie si de numele externe si de cele interne unde domeniul AD este de tip .local.

Si este cam “big problem” pentru ca majoritatea implementarilor de Active Directory + Exchange au folosit nume de domenii private pentru a elimina orice conflict cu domeniile externe.

Inca mai rumeg la chestia asta dar pot sa va dau cateva idei pe care le-am identificat rapid:

– daca este deployment nou evitati .local, .internal sau orice alt nume privat.

– daca este deployment existent, un domain rename se poate lua in considerare. (Am inceput sa zic cam des chestia asta insa nu am dat de nici un kamikaze pana acum care sa treaca printr-un domain rename)

– daca exista TMG in fata Exchange-ului, in intern raman certificatele emise de CA-ul intern iar pe TMG se pun cele emise pt domeniile externe.

– folositi site-uri diferite pt OWA, unele cu certificatele private iar altele cu cele publice.

– folositi acelasi service connection point si pentru intern si pentru extern, folosind numele public.

PS: https://www.cabforum.org/wp-content/uploads/Baseline_Requirements_V1.pdf