استفاده از CA های خارجی برای سرورهای Exchange در داخل ایران

**th95** · 2012-07-21, 12:42 PM

سلام
آیا دوستانی که سرورهای Exchange 2010 داخلی دارند (سرور دست خودشان است و Public IP ایران و کلاینتهای داخل و خارج از شرکت و کشور دارند) از Certificate Authority های معروف دنیا مانند Godaddy یا GeoTrust تجربه گرفتن SAN Certificate برای Exchange را دارند ؟

در واقع چیزی که دنبالش هستم اینه که به دلیل مشکلات تحریم و ...، این شرکتها به ایران چنین سرویسی رو میدن ؟
ظاهرشون نمیگه نمیدن ولی میتونند خیلی راحت بعد از مدت کوتاهی از گرفتن پول و دادن سرویس به بهانه تحریمها و ... اون رو قطع بکنند.

موضوعات مشابه:

**DiGiBoY** · 2012-07-21, 12:47 PM

قطع کنند؟!
بعد از اینکه Certificate رو Sign کردن چطوری می خوان این کار رو بکنن؟

**th95** · 2012-07-21, 01:02 PM

نوشته اصلی توسط DiGiBoY

قطع کنند؟!
بعد از اینکه Certificate رو Sign کردن چطوری می خوان این کار رو بکنن؟

قطعا بعد از این کار هم اونها میتونند سرویس شما رو قطع کنند
یا طبق قوانین خودشون حتی ممکنه به خودشون اجازه بررسی اطلاعات رو هم بدن (تا جایی که بتونند)
ضمن اینکه یکی از سرویسهای مهم CA ها Validate کردن اون سازمانی هستش که Cert رو ازش خریدن (که البته به احتمال 99 درصد این در مورد ایران کنسله)

یک شرکت رو میشناسم که میلونها دلار از زیمنس و رنو خرید کردند (پول رو دادن) الان سر این تحریمها طرف میگه جنس رو نمیدیم
دستشون به هیچ جا هم بند نیست

من تو بحث Certificate وارد نیستم ولی اگر فردا آمریکا بیاد بگه آقای Godaddy هر Cert که به ایرانی ها دادی رو تعطیل کن میتونند یا نه ؟
هر جا رو که در اشتباهم شما توضیح بدید

شما میگید که اگهر اطلاعات رو دادی (یک cert درخواست کردی) و اونها هم issue کردند
دیگه از این به بعد کلیه ارتباطات هیچ ربطی به اونها نداره
و فقط میشه بین کلاینت و سروری که این cert روش به کار گرفته شده ؟
درست میگم ؟

**SISYPHUS** · 2012-07-21, 02:21 PM

سلام
در حالت کلی که Godaddy اگر در Certificate Request کشور ایران رو پیدا کنه اجازه ادامه کار رو نمیده من این مسیر رو برای درخواست Cert با Godaddy و InstantSSL رفتم و هر دو اجازه ایجاد Cert رو نمیدن.برای این کار میتونی کشور رو UAE بگذاری و سرویس بگیری.من سرویس گرفتم و محدودیتی ندیدم.هم برای Exchange و هم برای Lync. در ضمن ارزانترین Certificate که گیرم اومد از Godaddy بود با 5 عدد SAN و برای Exchange اگر تعداد edge کمی داری بسیار مناسب هست.
موفق باشید.

**th95** · 2012-07-21, 02:34 PM

رای این کار میتونی کشور رو UAE بگذاری و سرویس بگیری.من سرویس گرفتم و محدودیتی ندیدم

در مشخصات Cert درخواستی یا کلا دراین مراحل هیچ جایی اینکه آدرس سرورهای شما از IP های ایرانه مشکلی پیدا نمیکنه ؟
منظور شما اینه که توی ایجاد Cert Request اطلاعات جعلی وارد کنیم حله ؟
دیگه بقیه اش مهم نیست ؟

**DiGiBoY** · 2012-07-21, 03:04 PM

نوشته اصلی توسط mhdganji

قطعا بعد از این کار هم اونها میتونند سرویس شما رو قطع کنند
یا طبق قوانین خودشون حتی ممکنه به خودشون اجازه بررسی اطلاعات رو هم بدن (تا جایی که بتونند)
ضمن اینکه یکی از سرویسهای مهم CA ها Validate کردن اون سازمانی هستش که Cert رو ازش خریدن (که البته به احتمال 99 درصد این در مورد ایران کنسله)

یک شرکت رو میشناسم که میلونها دلار از زیمنس و رنو خرید کردند (پول رو دادن) الان سر این تحریمها طرف میگه جنس رو نمیدیم
دستشون به هیچ جا هم بند نیست

من تو بحث Certificate وارد نیستم ولی اگر فردا آمریکا بیاد بگه آقای Godaddy هر Cert که به ایرانی ها دادی رو تعطیل کن میتونند یا نه ؟
هر جا رو که در اشتباهم شما توضیح بدید

شما میگید که اگهر اطلاعات رو دادی (یک cert درخواست کردی) و اونها هم issue کردند
دیگه از این به بعد کلیه ارتباطات هیچ ربطی به اونها نداره
و فقط میشه بین کلاینت و سروری که این cert روش به کار گرفته شده ؟
درست میگم ؟

چرا محمد. دنبال کردم. حق با تو بود. می تونن Revoke کنن. Browser پیغام می ده که این Certificate الان دیگه Revoke شده.

**mohamad-23** · 2012-07-21, 06:49 PM

www.wosign.com/english/index.htm

**Hakimi** · 2012-07-22, 03:52 AM

همانطور که آقای رواقی اشاره کرد اگر نامی از ایران نبرید مشکلی وجود ندارد. در مشخصات دامنه هم نباید نامی از ایران باشد.
روی وب سایت هایی که معروف نیستند و سرویس دهی عمومی ندارند حساسیتشان زیاد نیست و کنترل صرفا بر اساس پسوند دامنه و مشخصات ثبتی آن و مشخصات خریدار Certificate انجام می شود.
در هیچ یک از مراحل درخواست و دریافت Certificate از شما IP را نمی پرسند و پس از Issue کردن نیز بررسی نمی کنند که روی کدام IP از آن استفاده شده است. حداقل تا حالا که اینطور بوده.
البته در مورد سرویس دهی عمومی با مخاطب زیاد بحث متفاوت است، چرا که از مسیر های دیگری به این شرکت ها گزارش داده می شود و اقدام می کنند.

**hamed_mhk** · 2012-07-23, 08:06 AM

یه کار بهتر هم میشه کرد

الان بانک‌های ایرانی که اکثرشون هم توسط یک شرکتی Certified شدن رو نگاه کنید

اکثرشون از شرکت‌های چینی و ترکیه‌ای گرفتن

بد نیست بری یک نگاه بندازی و اونا رو هم یک بررسی‌ای بکنی

**th95** · 2012-07-23, 08:27 AM

نوشته اصلی توسط hamed_mhk

یه کار بهتر هم میشه کرد

الان بانک‌های ایرانی که اکثرشون هم توسط یک شرکتی Certified شدن رو نگاه کنید

اکثرشون از شرکت‌های چینی و ترکیه‌ای گرفتن

بد نیست بری یک نگاه بندازی و اونا رو هم یک بررسی‌ای بکنی

آره اتفاقا قبلا رفته بودم سراغ این قضیه (البته فقط بانک سامان رو دیده بودم)
از TurkTrust گرفته
بررسیشون کردم
نه تو لیست تراستهای iphone بود نه اصلا چیزی به اسم UCC یا SAN Cert داشت. فقط Wildcard میفروشه
داغونند

**hamed_mhk** · 2012-07-23, 10:51 AM

اِ ...

من اتفاقاً میخواستم از همین ترک تراست بگیرم (به خاطر اینکه توی ترکیه ست) پس نرم سراغش !!

آقا اگر چیزی پیدا کردی و به نتیجه رسیدی یه ندا هم به ما بده، دمت گرم

یه مشکلی که پیدا کردم اینه که Outlook Anywere دیگه از بیرون کار نمیکنه و باید وی پی ان بزنیم ! جالبه که میرم میخونم میگن کلاً Outlook Anywere با Self sign sertificate کار نمیکنه ولی چرا قبلاً کار میکرد رو من نمیفهمم !!!

خلاصه هر چی نمیخواستیم زیر بار سرتیفیکیت گرفتن نریم، الان مجبور شدیم که بریم !!

**th95** · 2012-07-23, 11:02 AM

وا.. کار نمیکنه
نمیدونم قبلا چه کرده بودی
تا جایی که دانش ناقص من میگه کار نمیکنه

کتاب MS Exchange 2010 Inside Out صفحه 209

Security alert: Limitations with self-signed certificates
A self-signed certificate can be used for all Exchange communications within the firewall
and also supports some external connections (OWA and ActiveSync) after the certificate
has been copied into the trusted root certificate store on the client computer. Some mobile devices don’t permit this, so you can’t use these devices with self-signed
certificates. Additionally, these certificates are not able to secure Outlook Anywhere
connections. Microsoft Outlook 2003 and Outlook 2007 accept self-signed certificates
used for internal communications “quietly” in that they do not display any errors when
they connect to an Exchange 2010 server. Outlook 2010 is more cautious and signals a
potential problem to a user (Figure 5-17).

و این لینک از ExchangePedia
Exchangepedia | Outlook Anywhere and Exchange’s Self-Signed Certificate

چیزی که تستیدم اینه که با In-House CA کار میکنه (یک CA Server مایکروسافتی) ولی خوب تا جایی که میدونم با SS کار نمیکنه

در مورد cert هم turktrust رو بی خیال شو (حداقل برای exchange بی خیال شو خصوصا اگه دومین زیاد داری)

من دارم میرم تو کار geotrust - هم معتبر و معروفه هم خیلی با ایران گیر و گور نداره هم قیمتش خیلی بالا نیست هم iphone ios تو لیست supported trustee هاش اورده

**hamed_mhk** · 2012-07-23, 12:51 PM

آره بابا !

مثل بنز کار میکرد این Outlook Anywhere ما !!
تقریباً میتونم بگم اواخر بهار پارسال من سیستم ها رو شخم زدم و عوض کردم و این سیستم کار میکرد تا همین یکی دو ماه پیش! که همین یکی دو ماه پیش رفتم این چیزایی که الان تو فرستادی رو دیدم که میگفت کلاً Outlook Anywhere با Self sign sertificate کار نمیکنه که برای خودم هم عجیب بود که پس چرا تا حالا میکرد؟!!!!

منم هیچ کار خاصی انجام نداده بودم

یه نصب ساده و فعال کردن Outlook Anywhere و همین !

ببینم یعنی چی با In House جواب میده ؟!!

یعنی من یه CA سرور راه بندازم و برای سرورهام certificate صادر کنم، ملت از بیرون میتونن بیان و دیکه ما نریم سراغ خرید سرتیفیکیت ؟!!

بعدش مثلاً من از سیستم داخلی سرتیفیکیت صادر کنم مثلاً برای OWA ، وقتی وارد میشن، ارور معتبر نبودن certificate میاد برای کاربر؟! (به نظر خودم که باید ارور بگیره!)

**th95** · 2012-07-23, 01:09 PM

بعدش مثلاً من از سیستم داخلی سرتیفیکیت صادر کنم مثلاً برای OWA ، وقتی وارد میشن، ارور معتبر نبودن certificate میاد برای کاربر؟! (به نظر خودم که باید ارور بگیره!)

چرا میگیرن ولی کار میکنه
اما تا جایی که میدونم Outlook AnyWhere با SS اصلا کار نمیکنه

مثل بنز کار میکرد این Outlook Anywhere ما !!
تقریباً میتونم بگم اواخر بهار پارسال من سیستم ها رو شخم زدم و عوض کردم و این سیستم کار میکرد تا همین یکی دو ماه پیش! که همین یکی دو ماه پیش رفتم این چیزایی که الان تو فرستادی رو دیدم که میگفت کلاً Outlook Anywhere با Self sign sertificate کار نمیکنه که برای خودم هم عجیب بود که پس چرا تا حالا میکرد؟!!!!

نمیدونم وا.. ! همین اکسچنج بود ؟ 2010 ؟ از اون موقع تا حالا سرویس پکی چیزی ! میگم شاید مثلا این شرایط از فلان SP به بعد پیش اومده باشه

**hamed_mhk** · 2012-07-23, 03:38 PM

آره !

دقیقاً exchnage server 2010 SP1 نصب کردم روی windows 2008R2 SP! اوتلوک انیور توپ کار میکرد. بعد از 2 ماه روش Update Rollup3v3 نصب کردم باز هم کار میکرد.0

یکی ذو ماه پیش یکی از کاربرهای بیرونی که با لپتاپ کار میکرد گفت ویروسی شدم و ایمیلم رو نمیتونم چک کنم () رفتم و فهمیدم که به Certificate داره گیر میده !!!

یعنی تا قبلش کار میکرد!!!

و تعجب من هم بعد از خوندن اون داکیومنت ها همین بود که میگفت این SS برای اون قضیه ساپرت نمیشه ولی ما یه دوره 1 ساله خوب و شیرین طلایی داشتیم !!!

موضوع: استفاده از CA های خارجی برای سرورهای Exchange در داخل ایران

پیوند

ابزارهای موضوع

نمایش

استفاده از CA های خارجی برای سرورهای Exchange در داخل ایران

کلمات کلیدی در جستجوها:

گرفتن cert برای سرور vpn

و کشور سروروبلاگ

سرتیفیکیت outlook 2010

vpn های که هح از سرور خارجی میگیره

root certificate is Lync

صدور certificate با استفاده از certificate autority براي exchange

outlook به سرور داخلي وصل ميشه

اوت لوک انیور

مشکل ca اکسچنج سرور

سرتیفیکیت در سرور

صادر کردن certificate برای وب سرور از طریق سرور CA

چرا turktrust سراغ

turktrust شيراز

فهرستي از بانك هايي كه از Turktrust ca مي گيرند

روش خارجی کردن اکسچنج

وبلاگ هایی که سرور خارجی دارند

نحوه گرفتن certificate برای exchange 2010 بدون استفاده از ca server

سرتیفیکیت برای ارسال ایمیل

بحث هایی در مورد ca server

مثال براي isa server 2006 mail publishing

سرتیفیکیت lync

جدیدترین سروروبلاگ دهی خارجی

خرید turktrust certificate

turktrust ایران

دریافت سرتیفیکیت اکسچنج 2007

برچسب برای این موضوع

مجوز های ارسال و ویرایش