Exchange 2013 SSL证书需要哪些子域名?

我需要为Exchange 2013服务器订购SSL证书。

我打算从Comodo Group Inc订购UC证书 。

我知道我需要在订购时指定下面的子域名:

  1. 自动发现。
  2. 邮件。

是否还有其他需要为Exchange 2013服务器指定的子域名? 我问,因为UC证书允许3个子域名,所以这导致我认为我错过了一个。

是的,如果mail.yourdomain.com是您的Exchange FQDN,通常mailautodiscover将是您所需要的。

请参阅Exchange 2013 数字证书和SSL文档,其中声明:

最佳实践:使用Exchange证书向导来请求证书*

Exchange中有许多使用证书的服务。 请求证书时的常见错误是在不包含正确的服务名称集的情况下发出请求。 Exchangepipe理中心中的证书向导将帮助您在证书请求中包含正确的名称列表。 该向导可让您指定证书必须使用哪些服务,并根据所选服务包含您在证书中必须具有的名称,以便可以与这些服务一起使用。 在部署初始Exchange 2013服务器集时运行证书向导,并确定要将哪些主机名用于部署的不同服务。 理想情况下,只需要为部署Exchange的每个Active Directory站点运行证书向导一次。

您不必担心忘记您购买的证书的SAN列表中的主机名,您可以使用免费提供宽限期的证书颁发机构,在此期间您可以返回证书,并请求相同的新证书几个额外的主机名称。

它进一步指出:

最佳实践:尽可能less使用主机名

除了使用尽可能less的证书之外,还应尽可能less地使用主机名称。 这种做法可以省钱。 许多证书提供商根据您添加到证书的主机名称数量收取费用。

为减less必须拥有的主机名称数量以及证书pipe理的复杂性,您可以采取的最重要步骤不是将个别服务器主机名称包含在证书的主题替代名称中。

您必须在Exchange证书中包含的主机名是客户端应用程序用于连接到Exchange的主机名。 以下是名为Contoso的公司所需的典型主机名列表:

Mail.contoso.com此主机名涵盖了Exchange的大部分连接,包括Microsoft Outlook,Outlook Web App,Outlook Anywhere,脱机通讯簿,Exchange Web服务,POP3,IMAP4,SMTP,Exchange控制面板和ActiveSync。

Autodiscover.contoso.com此主机名由支持自动发现的客户端使用,包括Microsoft Office Outlook 2007及更高版本,Exchange ActiveSync和Exchange Web Services客户端。

Legacy.contoso.com在与Exchange 2007和Exchange 2013共存的场景中,此主机名是必需的。如果Exchange 2007和Exchange 2013上的邮箱具有客户端,则configuration传统主机名可防止用户必须学习第二个升级过程中的URL。

一个build议的话。 CA正在逐步停止为.local发行UC Certs,所以理想情况下,您应该移动到您的domain.com。 多域名SSL证书通常比UC证书更便宜,并且即将用于相同的目的。 SBS的标准版本是mail.contoso.com,remote.contoso.com和autodiscover.contoso.com。

对于常规的Exchange环境,mail.contoso.com和autodiscover.contoso.com是必需的。 不要忘记在这里添加autodiscover.contoso.com到你的外部域名DNSlogging。 我已经看到owa.contoso.com,但老实说,这是不需要的。

要在Exchange Server 2013上安装UC证书,您需要仔细研究自动发现,邮件和OWA子域。

  • owa.yourdomain.com需要Outlook Web访问权限
  • mail.yourdomain.com需要邮件服务器的主机名
  • autodiscover.yourdomain.com分别自动configuration电子邮件客户端。

在生成CSR并在Exchange Server 2013上configurationSSL之前,您应该评估您的要求。