CAS üzerinde internal ve external sertifika problemi

Merhaba;

Sertifikanız içinde yer alan SAN bilgileri içinde, bağlantı bilgileriniz olmadığı için bu hatayı almaktasınız.

ayrıca 3rdParty firmayı domaininiz için güvenilen bir otorite yaptınız mı ? Firmanın Kök hücre sertifikasını domain ortamında yetkili kılmanız gerekmektedir.

Merhaba Fatih bey,

Cevap için teşekkürler. Aslında 3rd party sertifikanın trusted domain olması ile ilgili bir problem yaşamıyorum. Kullanıcılar https://icdomain.local.com/owa adresine girdiklerinde mail.disdomain.com.tr adresine ait sertifika ile karşılaşıyorlar. Bu şekildede isimler uymadığında sertifika hatası alıyorlar.

Ben şu şekilde bir yol izlemeye çalıştım, sizin yorumlarınız nedir?

IIs üzerinde yeni bir External site yarattım. Bu site üzerinde owa ve ecp virtual directory'lerini yarattım. bu site'i offline yaptım.

yeni bir certication authority kurup icdomain.local.com sertifikasını Default site üzerine yükledim. yüklerken IIS'de Bindings kısmında https-All IP Addresses-443-icdomain.local.com olarak ekledim. burada https://icdomain.local.com/owa adresine girerken br problem yok.

External site üzerinde mail.disdomain.com.tr sertifiasını binding'de set ettiğimde de https://mail.disdomain.com.tr/owa adresine girdiğimde de problem yok. ama bu seferde https://icdomain.local.com/owa adresine girdiğimde disdomain'e ait sertifika karşıma çıkıyor ve yine isim farklılığı sebebiyle hata alıyorum.

Bu yolla nasıl çözebilirim? değerli yorumlarınızı bekliyorum. Teşekkürler.

Merhaba;

Çözümünüzü Tam olarak anlamadım ama yapılacak olan çözüm yolu sahip olduğunuz sertifikaya veya yeni alacak olduğunuzsertifika içine Exchange erişim bilgilerini SAN bölümüne yazmanızdır.

Tek bir sertifika içine birden fazla SAN ismi yazabilmektesiniz.

[img] http://blogs.technet.com/photos/isablog/images/3046571/original.aspx [/img]

Bunun için de wildcard sertifika almam gerekiyor sanırım.

Problemi çözdüm. Belki benzer probelmi yaşayan arkadaşlar olur diye yazayım dedim.

Dediğim
gibi  CAS üzerindeki IIS'de ikinci site'ı oluşturup buna External adını
verdim. Yalnız bindings kısmında Ip adresi kısmına aynı IP'yi yada *
olarak girdiğimde lokalden erişim sağlamak isteyen kullanıcılar bu dış
alan adına ait sertifikayla karşılaşıyorlar ve alan adları
uyuşmadığından sertifika hatası alıyorlar. Önceki post'da belirtiklerime
ek olarak karışıklık yaşamayayım diye Default site'daki owa ve ecp
virtual directory'lerini sildim.

Sunucuya ikincil IP verdim ve default site'a birincil IP
adresini, External site'a da ikincil IP'yi verdim. Fakat bu ikincil IP
DNS'de güncellenince lokaldeki kullanıcılar yaptığım ayarlara rağmen
yine dış domain sertifikayla karşılaştılar.

http://support.microsoft.com/kb/2386184/en-us
adresinde microsoft'un hotfix'i bulunuyor. Normalde Windows 2008'de
2003'teki gibi Primary IP adres atayamıyoruz. Fakat bu hotfix'i
uyguladıktan sonra ikincil yaratılan IP'nin DNS kaydı yapılmsını
engelliyoruz. böylece yaptığım ayarlarda lokal kullanıcılar hep default
site'in IP'sine bakacaklar ve her iç alan adı girdiklerinde doğru site'a
erişim sağlayacaklar.

Dış alan adımıda ikincil IP'ye atadım.
içerideki kullanıcıların bu IP'den haberi olmayacak. DNS'te kayıdı
olmayan ikincil IP'mide sadece ISA2004 server'ım bilecek ve bu External
site üzerinden dışarıya yayın yapacak.

Bu sistem bende çalıştı.

Not: Bu kadar zahmete katlanmamın sebebi bir wildcard sertifikası yerine tek alan adı için sertifikaya sahip olmamız. yoksa Fatih beyin dediği gibi SAN içerisine birden falza DNS girerek kolayca çözülebilir.

Saygılar.