Neben Let’s Encrypt bietet auch WoSign kostenlose SAN-Zertifikate für beispielsweise Exchange Server an. Vorteil von WoSign: Die Zertifikate sind bis zu 3 Jahre gültig:
WoSign is a Chinese CA whose root certificate can be found in all common browsers and operating systems. Here is an example for Windows:
Damit sind die WoSign Zertifikate auf den meisten Geräten vertrauenswürdig. Da ich auf der Suche nach einem günstigen Zertifikat für mich privat war, habe ich Let’s Encrypt, sowie auch WoSign getestet. Wosign hat mir besser gefallen, da ich hier nicht alle 3 Monate das Zertifikat austauschen muss.
It only took a few minutes from the application to the issuing of the certificate. It is therefore highly recommended for private or small environments.
Certificates can be applied for here:
Here I once described how to create a certificate request for public CAs with Exchange 2013 (also valid for Exchange 2016):
However, I don't use the WoSign certificate directly on the Exchange server but on the Sophos UTM WAF, and there were no problems here either. Simply enter all DNS names in the CSR and then assign the virtual web servers to the names on the certificate accordingly:
The complete instructions for the Sophos WAF can be found here:
Qualys SSL Labs also has nothing to criticize about the certificate, WoSign issues certificates with SHA256:
Ich werde mir auch noch einmal die Let’s Encrypt Clients für Windows anschauen, ich bin gespannt ob die mittlerweile etwas besser laufen.
Für alle die sich die Integration von Let’s Encrypt in der Sophos UTM ebenfalls wünschen, gibt es hier ein Feature Request:
In my opinion, integration would be very helpful, so I have also cast 3 votes.
Finally, an important noteWoSign offers to issue the certificate even without a corresponding CSR. This may sound simple, but in fact WoSign is in possession of the private key and could theoretically use it to decrypt the communication. If you submit the CSR yourself, you avoid this risk as the private key remains on your own server.
Update 11.01.17: Apple hat die StartSSL und Woosign aus den vertrauenswürdigen CAs entfernt. Somit lassen sich diese Zertifikate nicht mehr mit Apple Geräten verwenden. Bei Let’s Encrypt gibt es weiterhin free certificates.