Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 28674 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Certificates required - WAF for MS Exchange

Ifor Davies
Hi folks

Sorry if this sounds trivial, but this is the first time I've used the Web Application Firewall for a production system using proper certificates, and I want to make sure I'm not about to make an expensive mistake!

I've followed the Sophos document on how to configure the UTM 9.2 WAF for Exchange connectivity, and I've got it to work using private certificates. I now want to replace my home-brew certificates with one(s) from one of the major certificate authorities. My question is - what do I need?

I've got three virtual servers configured:
  autodiscover..com
  outlook..com
  webservices..com

1. Do I just need certificates to cover the above external names, or do I need to worry about the internal DNS names for the exchange server as well?

2. Three separate certificates (which is what I used while testing) or one SAN certificate? Does it matter?

3. If a SAN certificate, does it matter which name goes in the subject field? (as you can guess, I'm not too knowledgeable about SAN certificates...)

Any other problems or "gotcha"s that I should be aware of when buying certificates for use with Sophos UTM?

Thanks for any guidance anyone can give...
Ifor


This thread was automatically locked due to age.
Parents
  • 0
    hi Ifor,

    you can use a wildcard cert, a san cert or three different web server certs. Choose one way, that is right for you. All three variations will work. Internal names should not be included.

    regards
    mod
  • 0 in reply to mod2402
    you can use a wildcard cert, a san cert or three different web server certs. Choose one way, that is right for you. All three variations will work. Internal names should not be included.


    There is evidence that wildcard certificates do not play nice with ActiveSync endpoints.  If you have a company policy for just one type of phone, and you test with a self-signed wildcard certificate and it is okay, then okay.   Otherwise I suggest it is wiser to stick to a SAN cert of separate certs.  See following link for details: 
    Exchangepedia | Which name should I use as Common Name for my UC certificate?
     
    *SPLIT BRAIN* 
    Quite separately this is an awesome resource on how to do split brain from an author of tremendous help articles on Exchange:
    http://exchangeserverpro.com/avoiding-exchange-2013-server-names-ssl-certificates/

    I have 22 other URLs all to do with the thorny issue of certificates, exchange and WAF.  Probably worth another thread on "resources useful for deploying WAF on exchange".

    BR Adrien.
Reply
  • 0 in reply to mod2402
    you can use a wildcard cert, a san cert or three different web server certs. Choose one way, that is right for you. All three variations will work. Internal names should not be included.


    There is evidence that wildcard certificates do not play nice with ActiveSync endpoints.  If you have a company policy for just one type of phone, and you test with a self-signed wildcard certificate and it is okay, then okay.   Otherwise I suggest it is wiser to stick to a SAN cert of separate certs.  See following link for details: 
    Exchangepedia | Which name should I use as Common Name for my UC certificate?
     
    *SPLIT BRAIN* 
    Quite separately this is an awesome resource on how to do split brain from an author of tremendous help articles on Exchange:
    http://exchangeserverpro.com/avoiding-exchange-2013-server-names-ssl-certificates/

    I have 22 other URLs all to do with the thorny issue of certificates, exchange and WAF.  Probably worth another thread on "resources useful for deploying WAF on exchange".

    BR Adrien.
Children
No Data
Unfiltered HTML