- Для внешнего клиентского доступа к exchange требуются сертификаты, выпущенные общедоступным центром сертификации
- Определение типа и количества сертификатов, выпущенных общедоступным центром сертификации, для среды
- Как «прикрутить» ssl сертификат в exchange 2007 ?
- Обновление/установка сертификата для ssl служб ms exchange 2007/2021
- Определение типа и количества сертификатов, выпущенных общедоступным центром сертификации, для среды
Для
внешнего клиентского доступа к exchange требуются сертификаты,
выпущенные общедоступным центром сертификации
Для внутренних компонентов Exchange можно использовать
самозаверяющие сертификаты, так как они не применяются для проверки
подлинности. Проверка подлинности для большинства компонентов
Exchange выполняется на основе Kerberos или NTLM. Для связи между
пограничным транспортным сервером и транспортным
сервером-концентратором используется проверка подлинности на основе
прямого доверия. Она выполняется на основе сертификата и того, что
открытый ключ пограничного транспортного сервера хранится в
Active Directory, которая являктся надежным хранилищем. В
других случаях самозаверяющие сертификаты предоставляют временный
ключ для шифрования обмена данными между компонентами Exchange.
Тем не менее для внешнего доступа клиентов из Интернета
в сеть, в которой находится Exchange, требуется традиционная
проверка доверия сертификатов. Для проверки доверия рекомендуется
использовать сертификат, выданный общедоступным центром
сертификации. Более того, если требуется проверка подлинности с
помощью сертификата, настоятельно не рекомендуется применять
самозаверяющие сертификаты. Сертификат, полученный от
общедоступного центра сертификации, рекомендуется использовать в
описанных ниже случаях.
- Доступ POP3-клиентов и IMAP4-клиентов к Exchange
- Outlook Web Access
- Мобильный Outlook
- Exchange ActiveSync
- Автообнаружение
- Безопасность домена
Во всех таких случаях рекомендуется использовать
общедоступный центр сертификации, который по умолчанию является
доверенным для всех клиентов.
Командлет New-ExchangeCertificate создает запрос
на сертификат в соответствии со спецификациями стороннего
общедоступного центра сертификации, который выпустит
сертификат.
Дополнительные сведения см. в следующих разделах:
В оставшейся части этого раздела содержатся сведения о
том, как определить нужный тип общедоступного сертификата, а также
о том, в каких случаях для защиты клиентов, получающих доступ к
Exchange Server 2007, требуется приобрести несколько
сертификатов.
Определение
типа и количества сертификатов, выпущенных общедоступным центром
сертификации, для среды
Выбор подходящего сертификата, выпущенного
общедоступным центром сертификации, зависит от нескольких
факторов.
- Поддержка клиентами подстановочных имен
сертификатов Определите, какие клиенты будут
поддерживаться. Как указано выше, в данном случае клиентами
называются клиенты, которые получают доступ к Exchange из
Интернета. - Пространство имен организации Как
настроено пространство имен IIS, доступное из Интернета? - Источник сертификата Где будет получен
сертификат? Поддерживает ли выбранный общедоступный центр
сертификации подстановочные значки в полях субъекта или
дополнительного имени субъекта? Если нет, поддерживаются ли
дополнительные имена субъекта?
В представленных ниже подразделах эти факторы
рассматриваются более подробно.
Поддержка
клиентами подстановочных имен сертификатов
Подстановочные имена могут использоваться в расширениях
субъекта и дополнительного имени субъекта сертификатов X.509.
Дополнительные сведения о подстановочных именах см. в подразделе
«CertificateDomains» ниже в разделе Атрибуты сертификатов и их
использование Exchange Server 2007.
После определения того, какие клиенты будет
поддерживать организация, полезно выяснить, поддерживают ли они
сертификаты с подстановочными именами для сервера, к которому они
подключаются.
Если клиент поддерживает подстановочные имена в
сертификатах, планирование системы сертификатов в организации
существенно упрощается. Если все клиенты поддерживают
подстановочные имена, а в организации используется одно доменное
имя, не требуется заниматься планированием пространства имена для
стратении развертывания сертификатов. Вместо этого можно создать
один сертификат, поддерживающий пространство имен с подстановочнм
знаком. Например, если клиенты с Outlook Web Access испрользуют для
доступа к почте mail.contoso.com/owa, а POP3-клиенты –
pop.contoso.com, для них можно использовать один
сертификат с подстановочным субъектом
*.contoso.com.
Следующие клиенты Майкрософт поддерживают
подстановочные имена в сертификатах:
Если клиент, используемый организацией, не поддерживает
подстановочные имена в сертификатах сервера, и применяется
нескролько пространств имен клиентов, можно использовать одно из
предложенных ниже решений.
- Приобретите сертификат, который содержит несколько имен, таких
какmail.contoso.com,pop.contoso.comи
mobile.contoso.comв расширении дополнительного имени
субъекта. - Приобретите сертификат для каждого объекта в пространстве имен,
к которому будет подключаться клиент.
Планирование пространства имен организации
Для подключения всем клиентам требуется URL-адрес или
полное доменное имя. Каждый путь, к которому подключаются клиенты,
должен быть сопоставлен с действительным сертификатом, который
содержит имя узла, NetBIOS-имя, полное доменное имя узла или общее
имя узла, к которому выполняется подключение. Определение списка
имен, которые должен содержать сертификат, называется
планированием пространства имен.
В общем случае планирование пространства имен для
больших организаций, которые поддерживают различные клиенты и
охватывают несколько регионов с несколькими серверами, сложнее, чем
планирование пространства более мелких организаций.
Необходимо изучить принципы планирования пространства
имен сертификатов, чтобы определить, какие имена узлов требуктся
включать в расшиерение дополнительных имен субъектоа используемого
сертификата для защиты входящих подключений к Exchange Server
2007.
Дополнительные сведения см. в разделе Сведения о планировании
пространств имен для Exchange Server 2007.
Способы
получения сертификата
Как указано выше, для внешнего клиентского доступа
рекомендуется приобрести сертификат от общедоступного стороннего
центра сертификации.
При оценке центров сертификации обратите внимание на
перечисленные ниже критерии.
- Разрешает ли центр сертификации использовать подстановочные
имена в сертификате? Если колиенты поддерживают подстановочные
имена в сертификате, приобретите сертификат в центре сертификации,
поддерживающем подстановочные имена. Это позволит наиболее просто
развернуть защищенные клиенты. - Поддерживает ли центр сертификации разширение дополнительных
имен субъекта? Рекомендуется использовать сертификат,
поддерживающий несколько дополнительных имен субъекта, если
выполняются следующие условия:- необходимо поддерживать клиенты, которые не поддерживают
подстановочные имена в сертификате; - клиенты должны подключаться к нескольким путям к узлу.
Корпорация Майкрософт в партнерстве с общедоступными центрами
сертификации предоставляет сертификат объединенных коммуникаций.
Актуальный список центров сертификации, которые поддерживают
сертификат объединенных коммуникаций, см. в статье 929395 базы
знаний Майкрософт Партнеры в области сертификатов объединенных
коммуникаций для Exchange Server 2007 и Communications Server
2007 (на английском языке). - необходимо поддерживать клиенты, которые не поддерживают
- Предоставляет ли центр сертификации высокий уровень проверки
истинности? Некоторые центры сертификации очень доступные по цене,
ежегодная стоимость сертификата в других достигает нескольких сотен
долларов. Так как от целостности сертификата зависит проверка
подлинности входящего трафика в организации, при выборе
общедоступного центра сертификации рекомендуется руководствоваться
не только ценой. Тщательно оцените и сравните услуги, которые
предлагаются каждым центром сертификации, и их репутацию.
К началу
Как «прикрутить» ssl сертификат в exchange 2007 ?
Почему собственно возник такой вопрос? Да потому, что попытавшись сделать это на IIS 7 в win2008, я не обнаружил вот такой кнопки, как в iis 6:

Соответственно возник вопрос: Что необходимо сделать, чтоб не возникало вот такое окно?

Соответственно для этого, нам потребуется воспользоваться каким нибудь сертификатом. Можно конечно обратиться к платному центру сертификации, но зачем? Этот метод наверно популярен за бугром, но мы, простые русские люди, безгранично любящие халяву, не можем себе такого позволить, посему выхода два:
А теперь подробней:
Открываем Power Shell, и набираем следующие команды:
1) New-ExchangeCertificate
2) Enable-ExchangeCertificate –Thumbprint <thumbprint> -Services “IIS”
3) Import-ExchangeCertificate –Path c:exported_cert.pfx –Password:(Get-Credential).password
4) Применяем на Exchange
Развернув Центр Сертификации, вы можете обеспечить автоматический выпуск сертификатов по запросу пользователей. Следить за выданными сертификатами, а так же отзывать их при необходимости. Если же вам требуется выпустить всего один сертификат, чтобы обеспечить безопасную работу с корпоративным порталом, или с электронной почтой через OWA, то проще будет воспользоваться утилитой selfssl.exe.
Утилита selfssl.exe входит в комплект пакета IIS6 Resource Kit Tools. Данный пакет является бесплатным и доступен для свободного скачивания с сайта Microsoft — http://www.microsoft.com/downloads/details.aspx?familyid=56FC92EE-A71A-4C73-B628-ADE629C89499 Загрузив пакет, запустите его. После запуска вы увидите окно установки.

Выберите метод установки Custom и нажмите Next для продолжения установки.

Затем выберите путь для установки или оставьте тот, что уже указан, и нажмите Next

Пакет включает в себя много утилит. Нас же интересует только одно. Снимите все флажки кроме одного, как показано на рисунке выше. Затем нажмите Next.
Запустить установленную утилиту можно из меню Пуск, как показано на рисунке.
Как видно параметров, которые можно задать, довольно много. Давайте попробуем разобраться с каждым из них:
/N:CN задает имя вашего сайта, например owa.contoso.com.
/K: задает длину ключа. Значение по умолчанию 1024.
/V: количество дней до окончания действия сертификата.
/S: номер сайта в IIS. По умолчанию равен 1.
/P: номер порта. Стандартом является 443. Это же значение задано по умолчанию.
Например, вы решили выпустить сертификат для сайта owa.contoso.com сроком на один год. Нет ничего проще! Наберите следующую команду:
selfssl /N:cn=owa.contoso.com /V:365
И нажмите Ввод.
На вопрос “Do you want to replace the SSL settings for site 1 (Y/N)?” нажмите “y”. Если у вас не установлен IIS то вы получите сообщение “Error opening metabase: 0x80040154” – просто игнорируйте его.
Сертификат выпущен. Теперь вы можете делать с ним все, что угодно. Например, установить на ваш WEB-сайт. Давайте посмотрим, как это сделать. Для начала вам нужно выгрузить ваш сертификат. Для этого запустите Microsoft Management Console (MMC). Нажмите Пуск->Выполнить…-> наберите mmc и нажмите ввод.
В появившемся окне нажмите Add…
Пакет включает в себя много утилит. Нас же интересует только одно. Снимите все флажки кроме одного, как показано на рисунке выше. Затем нажмите Next.
Запустить установленную утилиту можно из меню Пуск, как показано на рисунке.

Запустив утилиту, вы увидите окно командной строки, в котором, задав необходимые параметры, вы сможете выпустить свой собственный сертификат безопасности.

Как видно параметров, которые можно задать, довольно много. Давайте попробуем разобраться с каждым из них:
/N:CN задает имя вашего сайта, например owa.contoso.com.
/K: задает длину ключа. Значение по умолчанию 1024.
/V: количество дней до окончания действия сертификата.
/S: номер сайта в IIS. По умолчанию равен 1.
/P: номер порта. Стандартом является 443. Это же значение задано по умолчанию.
Например, вы решили выпустить сертификат для сайта owa.contoso.com сроком на один год. Нет ничего проще! Наберите следующую команду:
selfssl /N:cn=owa.contoso.com /V:365
ИнажмитеВвод.
Навопрос “Do you want to replace the SSL settings for site 1 (Y/N)?” нажмите “y”. Если у вас не установлен IIS то вы получите сообщение “Error opening metabase: 0x80040154” – просто игнорируйте его.
Сертификат выпущен. Теперь вы можете делать с ним все, что угодно. Например, установить на ваш WEB-сайт. Давайте посмотрим, как это сделать. Для начала вам нужно выгрузить ваш сертификат. Для этого запустите Microsoft Management Console (MMC). Нажмите Пуск->Выполнить…-> наберите mmc и нажмите ввод.

Затем нажмите File –> Add/Remove Snap in…

В появившемся окне нажмите Add…

Затем выберите Certificates и нажмите Add…

ВыберитеComputer accountинажмитеNext

Теперь нажмите Finish

Оснастка добавлена. Нажмите Close, чтобы закрыть диалоговое окно и OK, чтобы перейти к работе с оснасткой.

РазвернитеCrtificates (Local Computer)затемPersonalивыберитеCertificates.Справа вы увидите ваш сертификат. Щелкните по нему правой кнопкой мыши. Выберите All Tasks, а затем Export.

В появившемся диалоговом окне нажмите Next.

Если вы хотите использовать сертификат на вашем WEB-сайте, то для этого понадобиться выгрузить приватный ключ. Выберите “Yes, export the private key” и нажмите Next.

И еще раз Next.

Так как вы выгружаете приватный ключ, то такой сертификат лучше запаролить. Введите пароль или оставьте поле пустым (последнее не рекомендуется) нажмите Next.

Введите имя файла, то под которым файл будет храниться на диске. Например, owa.contoso.com и нажмите Next.

В следующем окне нажмите Finish.

Сертификат выгружен и готов к использованию. Теперь его необходимо установить на вашем WEB-сайте.
Данную утилиту можно использовать для выпуска любых сертификатов, например для ISAServer. Поэтому я создал три сертификата:
1. dc1.mydomain.local
2. owa.mydomain.local
3. isa.mydomain.local
Всем удачи!
Sorry, the comment form is closed at this time.
Обновление/установка сертификата для ssl служб ms exchange 2007/2021
Итак, у нас ситуация одна из двух — либо мы установили новый сервер MS Exchange 2007/2021 либо на нашем сервере закончился срок действия сертификата и нам нужен новый.
Поехали
Запрос нового сертификата нужно осуществлять только с помощью PowerShell и командлета New-ExchangeCertificate.
New-ExchangeCertificate -GenerateRequest -IncludeAutoDiscover -PrivateKeyExportable $true -SubjectName "CN=owa.pubdomain.ru, O=YOUR COMPANY, C=RU" -DomainName exch.domain.local, owa.pubdomain.ru, mail.pubdomain.ru -FriendlyName "Microsoft Exchange 2007" -Path c:exchange2007-cert.req
На что следует обратить внимание?
GenerateRequest — он сигнализирует о создании файла запроса на сертификат в сторонний центр сертификации. Без указания данного флага Exchange сервер сгенерирует самоподписанный сертификат.
SubjectName — поле CN должно в точности повторять FQDN к которому происходит обращение клиентов.
DomainName — должен содержать все альтернативные доменные имена, если таковы имеются. В моем случае пригодилось внутреннее имя сервера.
IncludeAutoDiscover — при наличии данного флага в запрос добавляются записи вида autodiscovery.domain.local для всех обслуживаемых доменов. Очень удобный параметр, не нужно в ручную перечислять данные записи.
PrivateKeyExportable — данный флаг позволит нам в дальнейшем экспортировать сертификат с закрытым ключем для передачи его на другие сервисы или для импорта в доверенные сертификаты в домене AD.
После выполнения данной операции будет сформирован текстовый файл запроса, который нужно передать в центр сертификации.
Как это сделать?
Открываем центр сертификации по адресу http://CA-Name/certsrv/ и делаем расширенный запрос сертификата:

Выбираем расширенный запрос сертификата:

Вставляем текст запроса:

После окончания операции мы получим .cer файл с новым сертификатом.
Что с ним делать дальше?
Естественно .cer файл не содержит закрытого ключа и на этом этапе обычно возникают трудности. Кажется, что сделал что-то не так, но все идет по плану. Exchange 2007 сам генерирует закрытый ключ и оставляет его в контейнере с запрошенным сертификатом и только после завершения процедуры импорта две половинки целого вновь соединятся и мы сможем получить долгожданный .pfx файл.
Импорт сертификата необходимо опять выполнять через PowerShell.
Import-ExchangeCertificate c:certnew.cer
В результате импорта Exchange 2007 покажет вам отпечаток сертификата:
2FF1AB2A04C03480387D93175F939120CC855E4F
Можно «запомнить» данное значения для легкости дальнейшего поиска и работы с сертификатом.
Теперь включаем данный сертификат в работу на требуемые службы в нашем случае это IIS и SMTP.
Enable-ExchangeCertificate 2FF1AB2A04C03480387D93175F939120CC855E4F -Services IIS,SMTP
Теперь можно экспортировать сертификат для передачи его на ISA Server.
Эту операцию можно сделать через оснастку «Сертификаты» в MMC, либо командлетом PowerShell
Export-ExchangeCertificate C84F388FB0A141CB4464B45A8AFC4F185FE3A5C1 -Password P@ssw0rd -Path d:exch-for-isa.pfx
Если вы будете делать экспорт сертификата средствами консоли MMC не забудьте снять галочку «Включить усиленную защиту ключа».
(c) http://yz74.ru/2009/12/15/renew-exchange-2007-certificate-outlook-web-access-owa/
Определение
типа и количества сертификатов, выпущенных общедоступным центром
сертификации, для среды
Выбор подходящего сертификата, выпущенного
общедоступным центром сертификации, зависит от нескольких
факторов.
- Поддержка клиентами подстановочных имен
сертификатов Определите, какие клиенты будут
поддерживаться. Как указано выше, в данном случае клиентами
называются клиенты, которые получают доступ к Exchange из
Интернета. - Пространство имен организации Как
настроено пространство имен IIS, доступное из Интернета? - Источник сертификата Где будет получен
сертификат? Поддерживает ли выбранный общедоступный центр
сертификации подстановочные значки в полях субъекта или
дополнительного имени субъекта? Если нет, поддерживаются ли
дополнительные имена субъекта?
В представленных ниже подразделах эти факторы
рассматриваются более подробно.
Поддержка
клиентами подстановочных имен сертификатов
Подстановочные имена могут использоваться в расширениях
субъекта и дополнительного имени субъекта сертификатов X.509.
Дополнительные сведения о подстановочных именах см. в подразделе
«CertificateDomains» ниже в разделе Атрибуты сертификатов и их
использование Exchange Server 2007.
После определения того, какие клиенты будет
поддерживать организация, полезно выяснить, поддерживают ли они
сертификаты с подстановочными именами для сервера, к которому они
подключаются.
Если клиент поддерживает подстановочные имена в
сертификатах, планирование системы сертификатов в организации
существенно упрощается. Если все клиенты поддерживают
подстановочные имена, а в организации используется одно доменное
имя, не требуется заниматься планированием пространства имена для
стратении развертывания сертификатов. Вместо этого можно создать
один сертификат, поддерживающий пространство имен с подстановочнм
знаком. Например, если клиенты с Outlook Web Access испрользуют для
доступа к почте mail.contoso.com/owa, а POP3-клиенты –
pop.contoso.com, для них можно использовать один
сертификат с подстановочным субъектом
*.contoso.com.
Следующие клиенты Майкрософт поддерживают
подстановочные имена в сертификатах:
Если клиент, используемый организацией, не поддерживает
подстановочные имена в сертификатах сервера, и применяется
нескролько пространств имен клиентов, можно использовать одно из
предложенных ниже решений.
- Приобретите сертификат, который содержит несколько имен, таких
какmail.contoso.com,pop.contoso.comи
mobile.contoso.comв расширении дополнительного имени
субъекта. - Приобретите сертификат для каждого объекта в пространстве имен,
к которому будет подключаться клиент.
Планирование пространства имен организации
Для подключения всем клиентам требуется URL-адрес или
полное доменное имя. Каждый путь, к которому подключаются клиенты,
должен быть сопоставлен с действительным сертификатом, который
содержит имя узла, NetBIOS-имя, полное доменное имя узла или общее
имя узла, к которому выполняется подключение. Определение списка
имен, которые должен содержать сертификат, называется
планированием пространства имен.
В общем случае планирование пространства имен для
больших организаций, которые поддерживают различные клиенты и
охватывают несколько регионов с несколькими серверами, сложнее, чем
планирование пространства более мелких организаций.
Необходимо изучить принципы планирования пространства
имен сертификатов, чтобы определить, какие имена узлов требуктся
включать в расшиерение дополнительных имен субъектоа используемого
сертификата для защиты входящих подключений к Exchange Server
2007.
Дополнительные сведения см. в разделе Сведения о планировании
пространств имен для Exchange Server 2007.
Способы
получения сертификата
Как указано выше, для внешнего клиентского доступа
рекомендуется приобрести сертификат от общедоступного стороннего
центра сертификации.
При оценке центров сертификации обратите внимание на
перечисленные ниже критерии.
- Разрешает ли центр сертификации использовать подстановочные
имена в сертификате? Если колиенты поддерживают подстановочные
имена в сертификате, приобретите сертификат в центре сертификации,
поддерживающем подстановочные имена. Это позволит наиболее просто
развернуть защищенные клиенты. - Поддерживает ли центр сертификации разширение дополнительных
имен субъекта? Рекомендуется использовать сертификат,
поддерживающий несколько дополнительных имен субъекта, если
выполняются следующие условия:- необходимо поддерживать клиенты, которые не поддерживают
подстановочные имена в сертификате; - клиенты должны подключаться к нескольким путям к узлу.
Корпорация Майкрософт в партнерстве с общедоступными центрами
сертификации предоставляет сертификат объединенных коммуникаций.
Актуальный список центров сертификации, которые поддерживают
сертификат объединенных коммуникаций, см. в статье 929395 базы
знаний Майкрософт Партнеры в области сертификатов объединенных
коммуникаций для Exchange Server 2007 и Communications Server
2007 (на английском языке). - необходимо поддерживать клиенты, которые не поддерживают
- Предоставляет ли центр сертификации высокий уровень проверки
истинности? Некоторые центры сертификации очень доступные по цене,
ежегодная стоимость сертификата в других достигает нескольких сотен
долларов. Так как от целостности сертификата зависит проверка
подлинности входящего трафика в организации, при выборе
общедоступного центра сертификации рекомендуется руководствоваться
не только ценой. Тщательно оцените и сравните услуги, которые
предлагаются каждым центром сертификации, и их репутацию.
К началу
