Blog of Khlebalin Dmitriy

(Записки из мира IT…)

Установка сертификата в Exchange 2010.


На днях обнаружил, что мой действующий сертификат на «чанге» уже просрочен, в этой связи есть ряд неприятных моментов, пришлось их устранить…

То, что видно юзерам, это при открытии OWA всплывает окошко, что данный сертификат не является доверенным, что некоторых раздражает, некоторых просто ставит в стопор при виде подобной надписи, но это только верхушка айсберга, при отсутствии валидного сертификата присутствует еще несколько красных событий в журналах…

Если у Вас нет центра сертификации в домене, то его нужно установить, он необходим и для ряда других сертификатов, не только для «чанги», но сейчас не об этом. В моем текущем случае «Центр сертификации» уже присутствует, при том установлен он на «железном» серваке на основном домен-контроллере…

Но для тех у кого нет, такового, заодно расскажу об установке…

1. Установка центра сертификации в домене

На сервере под управлением 2008 R2, например, на контроллере домена запускаем Server Manager (Диспетчер сервера) и добавляем роль (ссылкой Add Roles) «Active Directory Certificate Services»

snap1

Кнопка Next>

snap2

Кнопка Add Required Role Services

Отмечаем верхние 2 пункта (остальной по желанию)

snap3

 

snap5

 

 

snap4

 

snap6

snap7

Задаем срок действия сертификатов, выданных этим центром сертификации

snap8

2. Настройка центра сертификации

По умолчанию центр сертификации генерирует сертификаты, которые обслуживают только по одному имени субъекта. Т.е. для каждого имени нужно генерировать отдельный сертификат. Чтобы разрешить выпуск сертификатов с несколькими альтернативными именами субъектов, необходимо на сервере с ролью Центра сертификации выполнить команду:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

перезапускаем службы

net stop certsvc & net start sertsvc

3. Запрос сертификата для сервера Exchange 2010

В консоли управления Exchange Server 2010: Server Configuration – правый клик на имени сервера (либо в правой нижней области) – New Exchange Certificate

snap8 snap9

Вводим понятное имя создаваемого сертификата (можно кириллицей), например, «Доменный сертификат Exchange», кнопка Next.

Страницу Domain Scope (Область домена) пропускаем. Дальше интересное:

На странице Exchange Configuration (Конфигурация сервера Exchange) разворачиваем узел Client Access server (Outlook Web App)

и устанавливаем оба флажка:
— Outlook Web App is on the Intranet
— Outlook Web App is on the Internet
Проверяем, чтобы во втором поле было указано корректное имя, на которое ссылается MX запись для вашего домена на внешних DNS серверах.

Разворачиваем узел Client Access server (Exchange ActiveSync). Должен быть установленфлажок Exchange Active Sync is enabled

Разворачиваем Client Access server (Web Services, Outlook Anywhere, and Autodiscover) и вводим тоже имя для внешнего узла. Также должен быть установлен флажок Autodiscover used on the Internet и выбран параметр Long URL (Example: autodiscovet.contoso.com). В поле Autodiscovet URL to use:оставляем только autodiscover.<имя нашего домена>. КнопкаNext.

На странице Certificate Domains нажимаем кнопку Next

Заполняем страницу Organization and Location (можно кириллицей)

Нажимаем кнопку Browse, задаем имя файла (например, CertRequest) и сохраняем его. Завершаем создание сертификата.

4. Получение сертификата из центра сертификации

Находим только что сохраненный файл CertRequest.req и открываем его в Блокноте. Ctrl+A, Ctrl+C (сохраняем содержимое файла в буфер обмена) и закрываем Блокнот.

На своем ПК (на клиентском ПК администратора) запускаем IE и вводим адрес http://dc01/certsrv, где dc01 – имя сервера (в моем случае контроллера), на котором установлен центр сертификации. В списке задач нажимаем ссылку Request a certificate (Запросить сертификат) и на следующей странице  advanced certificate request (Расширенный запрос сертификата). Выбираемсамыйдлинныйпункт Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. На следующей странице ставим курсор в поле SavedRequest: и нажимаем Ctrl+V. Т.е. вставляем содержимое файла CertRequest.req

В списке CertificateTemplate выбираем Web Server и нажимаем кнопку Submit, затем ОК.

snap10

Щелкаем по ссылке Загрузить сертификат и сохраняем его на диске (например, под именем certnew.cer). После загрузки открываем его и проверяем, что на вкладке Details есть пунктSubject Alternative Name, который содержит несколько дополнительных имен.

5. Импорт и назначение сертификата

В консоли управления Exchange Server 2010: Server Configuration – выбираем свой сервер Exchange и в правой нижней области правый клик по вновь созданному пункту «Доменный сертификат Exchange» – Complete Pending Request (Выполнить ожидающий запрос).

snap11

На странице Complete Pending Request нажимаем кнопку Browse, находим на диске сертификат certnew.cer, загруженный из центра сертификации и импортируем его сюда.

Снова делаем правый клик по «Доменный сертификат Exchange» и выбираем пункт Assign Services to Certificate (Назначение служб сертификату). На сранице выбора серверов в списке должен быть указан наш сервер, для которого назначается сертификат.  На странице Select Services (Выбор служб) устанавливаем флажок IIS (можно поставить еще IMAP и SMTP).

snap12

Далее, назначить, готово.

В домене сертификат распространится автоматически вместе с обновлением групповых политик. Для немедленного тестирования можно на клиенте выполнить команду

gpupdate /force

На компьютерах, не входящих в домен можно импортировать сертификат. Причем, желательно импортировать не конкретный сертификат службы, а сразу взять сертификат нашего центра сертификации, чтобы в следующий раз не нужно было делать это повторно. Для этого снова обращаемся к веб-интерфейсу центра сертификации в браузере: http://dc01/certsrv/

Выбираемнижнийпункт Download a CA certificate, certificate chain, or CRL. Методкодированияоставляем DER. Переходимпоссылке Download CA certificate chain. И сохраняем файл с расширением .p7b. Передаем этот файл клиенту. На клиенте правый клик по файлу сертификата, выбираем пункт Установить сертификат, переводим переключатель в положение Поместить все сертификаты в следующее хранилище, Обзор, Доверенные корневые центры сертификации, ОК, Далее и т.д.

После этих манипуляций при подключении к OWA в браузере уже не должно появляться пугающих предупреждений вроде этого:

snap13

По аналогии можно сгенерировать сертификаты для различных сервисов и серверов использующих  протокол https  (TMG2010 если есть, portal и т. д.). Но это уже совсем другая история.

Всем хорошей работы !!!

 

Реклама

08.07.2014 - Posted by | ms exchange 2010

2 комментария

  1. Ой как воремя ))) у самого как раз ткая ситуация. Но я просто обновил уже существующий сертификат через свой центр сертификации.

    комментарий от Yaroslav | 08.07.2014

  2. Не у всех он есть Центр сертификации, да и обновить не каждый сможет еще 🙂

    комментарий от yoda | 08.07.2014


Sorry, the comment form is closed at this time.

%d такие блоггеры, как: