Использование WildCard Certificate с КПК
14 ноября 2007 г. Tech, Exchange by AdministratorПри публикации через ISA-сервер внутреннего сервера Exchange часто становится удобным применять WildCard-сертификаты (например *.it-arts.com, т.е. сертификат выдается на все поддомены домена it-arts.com).
Увы, но такой способ хоть и удобен, но таит определенные проблемы. Ключевая из них - отсутствуе поддердки WildCard сертификатов в Windows Mobile 5.0, поэтому при использовании синхронизации КПК с Microsoft Exchange Server 2007, Windows Mobile выдаст ошибку с информацией о несоответствии имени запрашиваемого сервера и имени, указанном в сертификате.
На данный момент существует несколько различных способов, которые могут помочь рещить данную проблему. Увы, универсального способа нет, т.к. все зависит от прошивки производителя КПК.
Первый способ:
Устанавливаем корневой сертификат, который является издателем сертификата ISA в КПК (экспортируем корневой сертификат из Trusted Root Certificate, кладем на флеш, переносим на КПК и открываем из стандартного проводника).
Далее необходимо внести изменения в реестр КПК для отключения проверки имени сертификата. Для изменения реестра озможно использовать либо Resco registry (resco explorer http://www.resco.net/pocketpc/explorer/default.asp) либо встроенную в студию утилиту RemoteRegistry.
В реестре необхзодимо выставить два ключа:
HKCU/Software/Microsoft/ActiveSync/Partnerships/*/secure = 0
здесь * - идентификатор "Партнерства". Для какого сервера не проверять. Нам необхзодимо егов ыставить для Exchange. Определить какой из партнерств относится к Exchange модно по параметрам URL в реестре.
Другой вариант - испортироварть сертификат в КПК, установленный на ISA-сервере. Данный варинат работает на ограниченном наборе устройств.