Такі продукти як Exchange Server і Skype for Business Server не працюють без сертифікатів X. 509, вони їм необхідні для шифрування клієнтських підключень. Коли всі зв’язки усередині ситуація проста, можна задіяти сертифікати від внутрішньої служби AD CS. Вони довірені всередині компанії. Але абсолютно неприйнятно використовувати їх, коли мова йде про серверів, до яких підключаються зовнішні клієнти та інші сервера з інтернету.
Споконвіку довірені комерційні сертифікати продавалися такими зубрами як Verisign, Comodo, Thawte і багатьма іншими. Вони перевіряли клієнта, брали за це гроші і виписували сертифікати. Вартість такого сертифіката на рік залежала від центру, ступеня перевірки, можливої компенсації і починалася від кількох сотень доларів. А іноді й менше.
Але людей це часто не зупиняло і вони використовували самоподписанные або внутрішні сертифікати, обговорювати які зараз не хочеться.
Але час йде і в світі залишилося мало ринків на які не вийшли б китайці. Китайський центр сертифікації WoSign почав безкоштовну роздачу сертифікатів з 5-ю іменами. Тобто основне ім’я і 4 додаткових. Як розумієте це закриває практично всі сценарії.
Якщо дуже хочеться більше імен, за шосте і далі імена вони беруть по 2 долари в рік, що теж смішно. Я вчора купив за 4 бакса декілька сертифікатів і поставив їх на Skype for Business Server і Exchange Server, федерації та інше запрацювало без проблем.
Один з мобільних клієнтів видав ось таке попередження, є підозра, що це пов’язано з великим китайським файрволом і доступністю CRL. Я звичайно не пропоную Comodo міняти на китайські безкоштовні сертифікати, т. до валідація по електронній пошті це не ахті валідація, але для стендів компаній, які не буде 200 доларів виділити на пристойний сертифікат все краще, ніж самопідписаний.
Сертифікати від WoSign
MCT/MVP Ілля Рудь
Онлайн курс «Планування і установка Exchange Server 2016»
