Капкан СиЭнСан

При публикации OWA с помощью ISA Server
2006 можно попасть в капкан СиЭнСан. Название капкана получилось от полей CN (Common Name)
и SAN (Subject Alternative Name,
в русской версии — Дополнительное имя субъекта), входящих в сертификат для Exchange 2007. В SAN может
входить несколько имен, поэтому название Subject Alternative Name в общем случае является неподходящим. Правильнее было бы
Subject Alternative Names.

И поскольку в SAN может быть несколько имен, можно
попасть в капкан СиЭнСан. Посмотрите на снимок сертификата:

Для данного сертификата CN=owa.dk.ru. Имя owa.dk.ru
встречается и в SAN, но
на втором месте. При использовании OWA во внутренней сети, расположение
имени owa.dk.ru на втором
месте не имеет значения. Но при публикации OWA с помощью ISA Server 2006, вероятно, вы
столкнетесь с проблемой «The target principal name is incorrect».
В русской версии ISA перевод весьма оригинален «Главное конечное имя неверно».
Этот дурацкий перевод является официальный переводом от Майкрософт, можете
проверить на ресурсе http://www.microsoft.com/language/ru/ru/default.mspx.

 

Для решения проблемы, имя owa.dk.ru необходимо
расположить на первом месте. А это значит, что вместо командлета:

 New-ExchangeCertificate
-GenerateRequest

-SubjectName “DC=dk,

DC=ru,

O=dk co.,

CN=mail.dk.ru”

-DomainName

autodiscover.dk.ru,

mail.dk.ru,

mail
-FriendlyName “Just Certificate”
-Path C:\Request.txt

 необходимо использовать командлет:

New-ExchangeCertificate
-GenerateRequest

-SubjectName “DC=dk,

DC=ru,

O=dk co.,

CN=mail.dk.ru”

-DomainName

mail.dk.ru,

autodiscover.dk.ru,

mail
-FriendlyName “Just Certificate”
-Path C:\Request.txt


Два интересных факта:

  • На
    тестовых 32-битных версиях Exchange
    2007 — проблема не возникает.
  • Командлет
    GetExchangeCertificate не выдает
    реальный порядок следования имен в SAN.
Реклама
Запись опубликована в рубрике Uncategorized. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s