Импорт/экспорт сертификатов
Для того, чтобы клиенты и серверы (например, ISA/TMG) могли принимать сертификат Exchange`a и пользоваться им, нужно выполнить 2 условия:
- Обеспечить клиентов доверием к этому сертификату;
- Обеспечить серверы самим сертификатом.
Что касается клиентов, то в случае рабочих станций, находящихся в домене, сервер ЦС сам позаботится о том, чтобы доменные пользователи ему доверяли, и установит свой сертификат к ним в Trusted Root Certification Authorities. Если же у вас есть не доменные пользователи или вам необходимо обеспечить клиентов другим сертификатом, то для этого нужно выполнить операцию экспорта/импорта.
Если вам нужен
сертификат самого ЦС
, то проще всего его запросить через веб-браузер по адресу
Как доверять самоподписным сертификатам (self-signed certificate)?
Как говорилось в первой части этой серии статей, можно настраивать Exchange (он имеет поддержку) на использование самоподписных сертификатов для внутренних сценариев. Чтобы убедиться в том, что ваши клиенты не получают никаких предупреждений безопасности при подключении к серверу клиентского доступа Exchange 2007 Client Access, нужно, чтобы ваши пользователи доверяли самоподписным сертификатам.
Есть несколько методов проверки того, что пользователи воспринимают самоподписной сертификат как тот, которому можно доверять. Я опишу лишь один способ, который не требует абсолютно никаких действий со стороны пользователей, этим способом является публикация самоподписного сертификата с помощью групповой политики. Однако следует помнить, что нужно будет повторять эти действия при каждом обновлении самоподписного сертификата!
1. Экспортирование самоподписного сертификата
Чтобы экспортировать самоподписной сертификат, можно воспользоваться командой Export-ExchangeCertificate оболочки Exchange Management Shell. Поскольку это автоматически включает частный ключ, вам нужно определить пароль, что я собственно и сделал в примере на рисунке 2 путем определения переменной строки безопасности $pwd.
2. Публикация самоподписного сертификата в качестве доверенного сертификата с помощью групповой политики
Можно опубликовать экспортированный сертификат в личном хранилище пользователя с помощью групповой политики. В следующем примере я запустил консоль управления групповой политикой для создания новой групповой политики и ее применения к домену (рисунок 3).
Я назвал новый GPO Trust Self Signed Certificate, и не использовал никакого объекта Source Starter GPO (рисунок 4).
Поскольку я хочу импортировать экспортированный самоподписной сертификат, я перейду к Конфигурации пользователя, Политикам, Настройкам Windows, Политикам частного ключа и правой клавишей нажму Доверенные люди (Trusted People), чтобы запустить мастера импортирования сертификатов (рисунок 5).
Я укажу ранее созданный файл путем выполнения команды Export-ExchangeCertificate, и нажму Далее для продолжения (рисунок 6).
Далее я введу пароль, который использовал для экспорта частного ключа и нажму Далее, чтобы продолжить (рисунок 7).
Хранилищем сертификатов, в котором будет храниться сертификат, будет Личное хранилище (Personal Store), жмем Далее для продолжения (рисунок 8).
Для завершения жмем Готово после просмотра всех имеющихся параметров (рисунок 9).
Мастер импортирования сертификатов скажет о том, что процесс импортирования успешно завершен. Жмем OK, и процесс импортирования завершен, групповая политика готова к применению (рисунок 10).
При следующем входе пользователя в домен или обновлении групповой политики самоподписной сертификат будет отмечен, как доверенный. Это видно при получении доступа к Outlook Web Access (рисунок 11).
Какие имена нужны в сертификате
Рассматривая сертификат и причины, по которым сертификат непригоден для шифрования и аутентификации в Exchange, обычно все сводиться к четырем следующим моментам:
Сертификат безопасности должен быть издан доверенным центром сертификации;
Сертификат безопасности не должен быть отозван центром сертификации, издавшим его;
Срок действия сертификата не должен быть истекшим;
Сертификат безопасности идет с именем, которое не соответствует предполагавшемуся имени.
Несмотря на то, что некоторые приложения, такие как Outlook Web Access, позволяют использовать сертификат, даже если он выпущен не доверенным ЦС, или сертификат был выпущен для другого адреса веб сайта, не рекомендуется игнорировать данные предупреждения, поскольку они могут означать, что кто-то или какой-либо процесс пытается вас одурачить или перехватить какие-нибудь данные, о чем четко написано в Microsoft Internet Explorer 7 (рисунок 12).
Outlook Anywhere и Exchange ActiveSync работать не будет, если есть проблемы с сертификатом (рисунок 13).
Давайте рассмотрим имена, которые нужны в сертификате безопасности для сервера клиентского доступа:
Имена сертификатов безопасности, которые нужны для ваших серверов Hub/Edge Transport:
А для сервера унифицированного обмена сообщениями (Unified Messaging server) нужно лишь FQDN роли сервера Unified Messaging.
Примерная ситуация
Представьте, что у вас есть среда, показанная на рисунке 14.
В этой среде Exchange вы публикуете Outlook Web Access и Outlook Anywhere с помощью сервера ISA, расположенного в DMZ. Почта, отправляемая из вашей организации и приходящая на нее, проходит через роль сервера Exchange Edge, также расположенного в DMZ.
В вашей организации Exchange есть два домена, за которые она отвечает: ProExchange.Global и BelgianBeers.Rock. Вы согласились настроить безопасность домена (Domain Security) между вашей Exchange организацией и одной из партнерских организаций Sunshine.Edu.
EdgeSync настроена на репликацию вашей конфигурации и информации получателя на сервер Edge. Вы получите два сертификата с публичного доверенного ЦС, один для публикации Outlook Web Access и Outlook Anywhere, а второй для установки безопасности домена между вашей организацией Exchange и Sunhine.Edu.
В таблице 1 приведен список серверов Exchange и их ролей, которые есть в данной среде Exchange.
Таблица 1
Более подробное рассмотрение вашей организации Exchange открывает URL, перечисленные в таблице 2, которые используются пользователями извне и внутри для подключения к своим почтовым ящикам.
Таблица 2: URL
Эти URL можно получить и изменить с помощью оболочки Exchange Management Shell. На рисунке 15 приведены команды Exchange Management Shell для получения URL, предоставленных Exchange веб службой Autodiscover для клиентов Microsoft Office Outlook 2007.
В таблице 3 приведен список записей, зарегистрированных в DNS.
Таблица 3: Записи, зарегистрированные в DNS
Чтобы включить безопасный доступ к Outlook Web Access и опубликовать Outlook Anywhere, следующие имена должны присутствовать в сертификате, который вы включите для службы IIS на внутреннем сервере клиентского доступа (Client Access Server) и экспортируете на свой сервер ISA 2006 Sp1:
Чтобы включить EdgeSync, предложить случайный TLS и настроить безопасность домена с партнерской организацией Sunshine.Edu, вам нужен сертификат для роли сервера Microsoft Exchange Edge со следующими именами:
В третьей части этой серии статей я покажу вам подробные шаги для того, чтобы создавать запрос сертификата с именами SAN, и как импортировать и включать приобретенный сертификат для ваших служб Exchange.
Получение сертификата из публичного центра сертификации (public certification authority)
Несмотря на то, что Exchange 2007 может генерировать самоподписные сертификаты во время установки, и вы можете заставить клиентов доверять им, следует помнить то, о чем я писал в первой части:
Самоподписные сертификаты действительны только в течение одного года
Самоподписным сертификатам могут доверять только их издатели
Самоподписные сертификаты не поддерживаются ни в Outlook Anywhere, ни в Exchange ActiveSync
Поэтому рекомендуется получить сертификат из центра сертификации. Можно установить собственный центр сертификации или получить сертификат из публичного центра сертификации. Компания Microsoft рекомендует получать сертификаты из публичного центра сертификации в следующих ситуациях:
Если вы получаете сертификат из публичного центра сертификации, вам не придется тратить массу усилий на то, чтобы ваш центр сертификации воспринимался как доверенный клиентами, не входящими в домен, и/или партнерскими организациями, которые хотят настроить безопасность домена с вашей средой Exchange.
Компания Microsoft опубликовала статью в базе знаний (Unified Communications Certificate Partners for Exchange 2007 and for Communications Server 2007) со списком центров сертификации, издающих унифицированные сертификаты коммуникации для Microsoft Exchange и для Communications Server 2007 (Unified Communications Certificates for Microsoft Exchange and for Communications Server 2007), которые можно использовать для установки функции Безопасности домена.
Продление сертификата exchange из powershell
Выведите полный список сертификатов, установленных в Exchange, и скопируйте отпечаток (ThumbPrint) того сертификата, который нужно продлить. Список сертификатов можно сохранить в txt файл:
Get-ExchangeCertificate | C:psCertThumbPrint.txt
Создадим новый запрос на продление сертификата, указав ThumbPrint того сертификата, который нужно продлить, например 12345678901234567890. Следующая команда сформирует файл запроса на продление SSL/TLS сертификата:
Get-ExchangeCertificate -Thumbprint 12345678901234567890| New-ExchangeCertificate -GenerateRequest -RequestFile “\msk-mail1sharerenew_cert.req” -PrivateKeyExportable:$true
После получение нового сертификата из CA, завершите запрос продления командой:
Import-ExchangeCertificate -FileName \msk-mail1sharecompany_new_sslcert.cer” -PrivateKeyExportable:$true
Теперь активируйте данный SSL сертификат для нужных служб Exchange:
Enable-ExchangeCertificate –Thumbprint 123123123123123123123123123 –Services “IIS, SMTP, POP, IMAP”
Осталось только перезапустить службы IIS на Exchange:
Restart-Service W3SVC
Заключение
На этом тему выдачи сертификата мы закончим. В следующей статье поговорим про публикацию самих сервисов Exchange 2021 в сеть Интернет.
Данная статья является частью цикла “
Публикация сервисов Exchange 2021 через TMG