Запрос сертификата
Есть несколько путей, чтобы выполнить процедуру генерации CSR-запроса. Самый простой из них — через оснастку Диспетчер служб IIS, который я рассматривал в статье Exchange Hybrid — Подготовка серверов федерации. В этой же статья я рассмотрю более «хардкорный» вариант, когда запрос надо сгенерировать из консоли EMS1. Итак, сделать это можно командой как в примере ниже:
Примечание: если вдруг надо указать данные об организации, вы можете это сделать внутри параметра -SubjectName, например -SubjectName [C=<CountryOrRegion>, S=<StateOrProvince>, L=<LocalityOrCity>, O=<Organization>, OU=<Department>], CN=<HostNameOrFQDN>.
Папка \exch01c$tmpcert_01 должна существовать. После выполнения команды там будет лежать CSR-запрос cert_01.req. С его помощью вы сможете получить сертификат в локальном доменном ЦС, либо отправить его публичному ЦС.
Как это бывает
Помимо проблем с несвоевременным продлением, вам может также встретиться ситуация с отзывом сертификата со стороны выпускающего центра. Это может случиться в том случае, если вы установили свеженький сертификат, а счет, который центр сертификации присылает позже, оплатить забыли.
Примечание: обычно срок оплаты выпущенного сертификата составляет две недели, но все зависит от отношений вашей организации и центром сертификации. По личным договоренностям вы можете продлить срок оплаты. Также перед отзывом сертификата вас обязательно предупредят менеджеры ЦС, при том сделают это несколько раз.
Если вдруг вы нарвались на отзыв сертификата, то попасть даже в ECP у вас не получится. Вот что покажет браузер:
Как видите, кнопочки Продолжить открытие этого веб-сайта (не рекомендуется) тут нет, а следовательно придется поработать ручками в консоли.
Установка сертификата
Результатом отправки CSR-запроса в ЦС должно быть получение файла с расширением .crt (.cer) и возможно других (сертификаты промежуточных центров). Поместим этот файл (в моем случае он имеет имя certnew.cer) в папку \exch01c$tmpcert_01. Далее необходимо завершить запрос на получение командой:
Примечание: логично, что завершать запрос на получение сертификата нужно на том же сервере, на котором этот запрос когда-то был сгенерирован.
Посмотреть существующие сертификаты, доступные для использования сервером Exchange, можно командой:
Запомните значение Thumbprint сертификата, для которого вы только что завершили запрос. Это нужно, чтобы назначить этот сертификат необходимым службам Exchange. Делается это командой:
Осталось только перезапустить IIS (можно это сделать через оснастку Службы, полное название IIS — Служба веб-публикаций (W3SVC)):
Теперь снова можете пользоваться ECP. Если сертификат был получен у локального ЦС, то возможно придется раскидать его по каким-то клиентам вручную, либо через GPO (как это сделать, читайте в статье Сертификат Exchange 2021).
Установка сертификата в exchange 2021.
На днях обнаружил, что мой действующий сертификат на «чанге» уже просрочен, в этой связи есть ряд неприятных моментов, пришлось их устранить…
То, что видно юзерам, это при открытии OWA всплывает окошко, что данный сертификат не является доверенным, что некоторых раздражает, некоторых просто ставит в стопор при виде подобной надписи, но это только верхушка айсберга, при отсутствии валидного сертификата присутствует еще несколько красных событий в журналах…
Если у Вас нет центра сертификации в домене, то его нужно установить, он необходим и для ряда других сертификатов, не только для «чанги», но сейчас не об этом. В моем текущем случае «Центр сертификации» уже присутствует, при том установлен он на «железном» серваке на основном домен-контроллере…
Но для тех у кого нет, такового, заодно расскажу об установке…
1. Установка центра сертификации в домене
На сервере под управлением 2008 R2, например, на контроллере домена запускаем Server Manager (Диспетчер сервера) и добавляем роль (ссылкой Add Roles) «Active Directory Certificate Services»
Кнопка Next>
Кнопка Add Required Role Services
Отмечаем верхние 2 пункта (остальной по желанию)
Задаем срок действия сертификатов, выданных этим центром сертификации
2. Настройка центра сертификации
По умолчанию центр сертификации генерирует сертификаты, которые обслуживают только по одному имени субъекта. Т.е. для каждого имени нужно генерировать отдельный сертификат. Чтобы разрешить выпуск сертификатов с несколькими альтернативными именами субъектов, необходимо на сервере с ролью Центра сертификации выполнить команду:
certutil -setreg policyEditFlags EDITF_ATTRIBUTESUBJECTALTNAME2
перезапускаем службы
net stop certsvc & net start sertsvc
3. Запрос сертификата для сервера Exchange 2021
В консоли управления Exchange Server 2021: Server Configuration – правый клик на имени сервера (либо в правой нижней области) – New Exchange Certificate
Вводим понятное имя создаваемого сертификата (можно кириллицей), например, «Доменный сертификат Exchange», кнопка Next.
Страницу Domain Scope (Область домена) пропускаем. Дальше интересное:
На странице Exchange Configuration (Конфигурация сервера Exchange) разворачиваем узел Client Access server (Outlook Web App)
и устанавливаем оба флажка:
— Outlook Web App is on the Intranet
— Outlook Web App is on the Internet
Проверяем, чтобы во втором поле было указано корректное имя, на которое ссылается MX запись для вашего домена на внешних DNS серверах.
Разворачиваем узел Client Access server (Exchange ActiveSync). Должен быть установленфлажок Exchange Active Sync is enabled
Разворачиваем Client Access server (Web Services, Outlook Anywhere, and Autodiscover) и вводим тоже имя для внешнего узла. Также должен быть установлен флажок Autodiscover used on the Internet и выбран параметр Long URL (Example: autodiscovet.contoso.com). В поле Autodiscovet URL to use:оставляем только autodiscover.<имя нашего домена>. КнопкаNext.
На странице Certificate Domains нажимаем кнопку Next
Заполняем страницу Organization and Location (можно кириллицей)
Нажимаем кнопку Browse, задаем имя файла (например, CertRequest) и сохраняем его. Завершаем создание сертификата.
4. Получение сертификата из центра сертификации
Находим только что сохраненный файл CertRequest.req и открываем его в Блокноте. Ctrl A, Ctrl C (сохраняем содержимое файла в буфер обмена) и закрываем Блокнот.
На своем ПК (на клиентском ПК администратора) запускаем IE и вводим адрес http://dc01/certsrv, где dc01 – имя сервера (в моем случае контроллера), на котором установлен центр сертификации. В списке задач нажимаем ссылку Request a certificate (Запросить сертификат) и на следующей странице advanced certificate request (Расширенный запрос сертификата). Выбираемсамыйдлинныйпункт Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. На следующей странице ставим курсор в поле SavedRequest: и нажимаем Ctrl V. Т.е. вставляем содержимое файла CertRequest.req
В списке CertificateTemplate выбираем Web Server и нажимаем кнопку Submit, затем ОК.
Щелкаем по ссылке Загрузить сертификат и сохраняем его на диске (например, под именем certnew.cer). После загрузки открываем его и проверяем, что на вкладке Details есть пунктSubject Alternative Name, который содержит несколько дополнительных имен.
5. Импорт и назначение сертификата
В консоли управления Exchange Server 2021: Server Configuration – выбираем свой сервер Exchange и в правой нижней области правый клик по вновь созданному пункту «Доменный сертификат Exchange» – Complete Pending Request (Выполнить ожидающий запрос).
На странице Complete Pending Request нажимаем кнопку Browse, находим на диске сертификат certnew.cer, загруженный из центра сертификации и импортируем его сюда.
Снова делаем правый клик по «Доменный сертификат Exchange» и выбираем пункт Assign Services to Certificate (Назначение служб сертификату). На сранице выбора серверов в списке должен быть указан наш сервер, для которого назначается сертификат. На странице Select Services (Выбор служб) устанавливаем флажок IIS (можно поставить еще IMAP и SMTP).
Далее, назначить, готово.
В домене сертификат распространится автоматически вместе с обновлением групповых политик. Для немедленного тестирования можно на клиенте выполнить команду
gpupdate /force
На компьютерах, не входящих в домен можно импортировать сертификат. Причем, желательно импортировать не конкретный сертификат службы, а сразу взять сертификат нашего центра сертификации, чтобы в следующий раз не нужно было делать это повторно. Для этого снова обращаемся к веб-интерфейсу центра сертификации в браузере: http://dc01/certsrv/
Выбираемнижнийпункт Download a CA certificate, certificate chain, or CRL. Методкодированияоставляем DER. Переходимпоссылке Download CA certificate chain. И сохраняем файл с расширением .p7b. Передаем этот файл клиенту. На клиенте правый клик по файлу сертификата, выбираем пункт Установить сертификат, переводим переключатель в положение Поместить все сертификаты в следующее хранилище, Обзор, Доверенные корневые центры сертификации, ОК, Далее и т.д.
После этих манипуляций при подключении к OWA в браузере уже не должно появляться пугающих предупреждений вроде этого:
По аналогии можно сгенерировать сертификаты для различных сервисов и серверов использующих протокол https (TMG2021 если есть, portal и т. д.). Но это уже совсем другая история.
Всем хорошей работы !!!
Sorry, the comment form is closed at this time.
Числа
- Не ставьте для типа INTEGER свойство UNSIGNED, если вы не знаете что делайте. Из коробки php не поддерживает числа такого большого размера
- Связанные таблицы («Foreign keys») должны иметь полное сходство по структуре ключей. Т.е. если у нас на одной таблице для поля указано «INTEGER UNSIGNED DEFAULT 0 NOT NULL» то и на другой должно быть указано аналогично
- Для хранения булевых значений, нужно использовать TINYINT(1)
- А деньги лучше хранить в DECIMAL(10, 2), где первое число обозначает количество всех знаков, включая запятую, а второе — количество знаков после запятой. Итого, у нас получится что DECIMAL(10,2) может сохранить 9999999,99
Заключение
На этом тему выдачи сертификата мы закончим. В следующей статье поговорим про публикацию самих сервисов Exchange 2021 в сеть Интернет.
Данная статья является частью цикла “
Публикация сервисов Exchange 2021 через TMG