Главная Exchange/UC, Security, Новое Бесплатные сертификаты для Exchange\Skype\SharePoint
  • Бесплатные сертификаты для Exchange\Skype\SharePoint

    freeТакие продукты как Exchange Server и Skype for Business Server не работают без сертификатов X.509, они им необходимы для шифрования клиентских подключений. Когда все подключения внутри ситуация проста, можно задействовать сертификаты от внутренней службы AD CS. Они доверенные внутри компании. Но совершенно неприемлемо использовать их, когда речь идет о серверах, к которым подключаются внешние клиенты и другие сервера из интернет.

    Испокон веков доверенные коммерческие сертификаты продавались такими зубрами как Verisign, Comodo, Thawte и многими другими. Они проверяли клиента, брали за это деньги и выписывали сертификаты. Стоимость такого сертификата на год зависела от центра, степени проверки, возможной компенсации и начиналась от нескольких сот долларов. А иногда и меньше.IC182101

    Но людей это зачастую не останавливало и они использовали самоподписанные или внутренние сертификаты, обсуждать которые сейчас не хочется.

    Но время идет и в мире осталось мало рынков на которые не вышли бы китайцы. Китайский центр сертификации WoSign начал бесплатную раздачу сертификатов с 5-ю именами. Т.е основное имя и 4 дополнительных. Как понимаете это закрывает практически все сценарии.
    CaptureЕсли очень хочется больше имен, за шестое и далее имена они берут по 2 доллара в год, что тоже смешно. Я вчера купил за 4 бакса несколько сертификатов и поставил их на Skype for Business Server и Exchange Server, федерации и прочее заработало без проблем.
    Screenshot_2016-02-05-14-48-13Один из мобильных клиентов выдал вот такое предупреждение, есть подозрение, что это связано с великим китайским файрволом и доступностью CRL. Я конечно не предлагаю Comodo менять на китайские бесплатные сертификаты, т.к валидация по электронной почте это не ахти какая валидация, но для стендов и компаний, которые не будет 200 долларов выделить на приличный сертификат все лучше, чем самоподписанный.

    Сертификаты от WoSign

    MCT/MVP Илья Рудь

    Онлайн курс «Планирование и установка Exchange Server 2016»

Комментарии

  1. прицепе тот же www.startssl.com дает бесплатные сертификаты

    там есть условия что такие имена как \"store\",\"trade\",\"donate\", \"finance\", \"order\",\"invest\",\"deal\", \"pay\", \"price\", \"shop\", \"bank\", \"money\"/\"cash\",\"credit\", \"sale\"/\"sell\", \"buy\",\"billing\"

    нужно покупать,

    а остальные как mail.xxx.com help.xxx.com будут бесплатны

  2. на стартссл условие, что бесплатные только для собственного использования.

  3. А если не полениться и посмотреть сертификаты, которые WoSign выдал, то будет видно что их root — это StartCom (StartSSL), и, соответственно из CA of WoSign подписан StartCom CA:)

    Никто на это обратил внимания?

  4. Алексей, как это посмотреть ?

  5. В прошлом году ставил Lync server на стенд с сертификатами wosign. Ни один клинт не отработал нормально, купил comodo. Может, поменялось что, но в марте 15 это не работало.

  6. Х.з я на демо вчера гонял, все было ок.

  7. и ничего что каждый запрос на проверку уходит в базу данных к китайцам...

  8. для избежания этого существует OCSP stapling.

  9. А должен на Мальдивы?)

  10. В первом полугодии 2015 смог получить у WoSign SAN сертификат

    Но осенью когда думал продлить или не продлить StartSSL — обнаружил что бесплатно только 1 запись каждое доп. стоит 2 доллара что ли уже точно не помню.

    А сейчас опять правила получается изменили 🙂

    Правда в StartSSL тоже внесли изменения. Было 59$ за персональную валидацию и 59$ за корп. — а сейчас за корп. просят 119$ но и прибавили что сертификат теперь выдают на 3 года.

  11. К первому посту добавлю, что StartSSL, что WoSign не дают серт на имя outlook.*

    Подвело недавно как раз.

  12. а зачем давать вообще имя outlook ? )

  13. Более интересно чем им имя outlook не угодило)

  14. эм, все нормально, не удержался и проверил, спокойно получил сертификат на имя outlook на startssl

    s019.radikal.ru/i637/1602/47/cb68b4cc6cff.jpg

  15. еще интересный проект с бесплатными сертификатами (и даже не от китайцев 🙂 — letsencrypt.org

  16. Проект действительно интересный, но пока он предпочтителен больше для выпуска сертификатов для сайтов и на хостинг, чем для UC. Основной минус, который я испытал при использовании его на стенде — автоматический выпуск и механизм подтверждения. В случае с Exchange или S4B потребуется выпуск в ручном режиме, при этом официальные инструменты по выпуску сертификатов доступны на Linux. Тем самым мне для получения сертификата потребовалось поднять виртуалку, выпустить в реальную сеть, затем все A-записи перевесить на IP-виртуалки и выпустить сертификат, срок которого 3 месяца. Вопрос, как быть дальше, если поребуется перевыпуск сертификата, поднимать сайты в IIS на адресах mail.contoso.com, sip.contoso.com?

    WoSign в этом плане намного удобнее, хоть сейчас и ввели лимит на количество SAN.

  17. Запросили сертификат на 5 доменных имен у WoSign но получили сертификаты с открытым ключом.

    Как вы запросили сертификат у WoSign с закрытым ключом?

  18. Закрытый ключ генерируется на том ПК, откуда вы создаете запрос. Естественно вы скачивать с сайта будете с открытым.

  19. Коллеги, добрый день.

    Как по опыту — сколько у WoSign времени на выпуск сертификата уходит ? Взял платный, CSR отправил, домен подтвердил, 30 минут подождать согласился и пошли третьи сутки.

  20. У меня в 30 минут всегда укладывались.

  21. Никогда не понимал почему в России нет своих центров «идущих в народ»,есть же всякие крипто-про и иже с ними,неужели им деньги ненужны?

  22. Читал, что наши компании, занимающиеся безопасностью и выдачей сертификатов, не могут пройти международную сертификацию Global Root CA в связи с ограничениями российского законодательства в части криптографии. Ну и платить за включение в список рутовых CA компаниям Microsoft, Apple и Google не хотят, наверное. 😉

  23. StartCom начал выпускать бесплатные годовые сертификаты с 5 именами в SAN, а за деньги есть GoGetSSL с самыми низкими ценами на рынке — $4 за обычный и $40 за wildcard от Comodo.

    У WoSign OCSP доступен только из Китая, поэтому надо прикручивать OCSP stapling. Сам IIS его не умеет, но можно настроить на HAproxy перед ним.

  24. WoSign и StartCom скоро закопают:

    geektimes.ru/post/281188/

Опубликовать

Я не робот.