- Как обновить сертификат почтового сервера microsoft exchange?
- Transport layer security между сайтами active directory
- Запрос сертификата
- Использование самозаверяющего сертификата для клиентов outlook 2007, присоединенных к домену
- Истечение срока действия сертификата
- Как «прикрутить» ssl сертификат в exchange 2007 ?
- Общие сведения о самозаверяющем сертификате
- Ограничения самозаверяющего сертификата
- Истечение срока действия сертификата
- Ограничения самозаверяющего сертификата
- Истечение срока действия сертификата
- Случаи, в которых можно использовать самозаверяющий сертификат
- Использование самозаверяющего сертификата для клиентов outlook 2007, присоединенных к домену
- Использование самозаверяющего сертификата с перенаправлением
- Установка сертификата на microsoft exchange 2007
- Установка сертификата ссл на microsoft exchange 2021
- Установка сертификатаssl через exchange powershell
Как обновить сертификат почтового сервера microsoft exchange?
Много гуглил. Так до конца и не понял где это делается.
1)
https://docs.microsoft.com/ru-ru/exchange/architec…
Get-ExchangeCertificate…. и далее по тексту мануала…
PowerShell пишет ошибку, не находит такую команду (??)
2) https://my-sertif.ru/obnovit-ssl-sertifikat-exchange/
Exchange Admin Center, адреса вида https://msk-mail1/ecp/ нет. По подобному адресу располагается веб почта microsoft exchange.
3) Пробовал и так
https://my-sertif.ru/mail-servers/exchange-se…
Диспетчер служб IIS — Сертификаты сервера:
Там есть старый, истекший сертификат, который надо обновить. Нажатие на кнопку обновить у просроченного сертификата открывает диалог выбора сервера (центр сертификации), выбираю сервер и – ошибка, запрос получен, но не может быть обработан. Вообщем сервер отказывает (сервер “локальный” в этой же сети).
Новый сертификат создается без проблем, сервер его “выдает”. Но его надо как то установить на клиенты, добавить в outlook у пользователей. Экспортом не реально, компов много. Где это делать в групповых политиках пока непонятно.
Как обновить сертификат почтового сервера microsoft exchange?
Transport layer security между сайтами active directory
Серверная роль Exchange 2007 Hub Transport использует сертификат для шифрования всего SMTP-трафика между сайтами Active Directory. Невозможно сконфигурировать Exchange для пересылки нешифрованного SMTP-трафика между серверами Hub Transport, расположенными в различных сайтах.
Для того, чтобы увидеть, какой сертификат используется между двумя серверами Hub Transport, расположенными в различных сайтах Active Directory, вы можете включить логгирование протокола SMTP на внутреорганизационном коннекторе отправки (Send) на каждом сервере Hub Transport, как показано ниже на рисунке 2, используя командлет Set-TransportServer в Exchange Management Shell.
Задавая так называемый IntraOrgConnectorProtocolLoggingLevel для подробного вывода, логгирование протокола будет добавлено к логу протокола коннектора отправки. После отправки письма из ящика, расположенного в сайте B в ящик, расположенный на Mailbox сервере Exchange 2007 в сайте A, просмотр лога протокола отправки позволяет обнаружить, что сервер Exchange Hub Transport в сайте B (Ex2007SE) использует сертификат, предложенный сервером Exchange Hub Transport в целевом сайте Active Directory (Ex2007EE) для того, чтобы обеспечить безопасность транспортного уровня, как можно видеть на рисунке 3.
Взглянув на сертификат на сервере Hub Transport, доступный для TLS, видно, что используется самоподписанный сертификат (рисунок 4).
Запрос сертификата
Есть несколько путей, чтобы выполнить процедуру генерации CSR-запроса. Самый простой из них — через оснастку Диспетчер служб IIS, который я рассматривал в статье Exchange Hybrid — Подготовка серверов федерации. В этой же статья я рассмотрю более «хардкорный» вариант, когда запрос надо сгенерировать из консоли EMS1. Итак, сделать это можно командой как в примере ниже:
Примечание: если вдруг надо указать данные об организации, вы можете это сделать внутри параметра -SubjectName, например -SubjectName [C=<CountryOrRegion>, S=<StateOrProvince>, L=<LocalityOrCity>, O=<Organization>, OU=<Department>], CN=<HostNameOrFQDN>.
Папка \exch01c$tmpcert_01 должна существовать. После выполнения команды там будет лежать CSR-запрос cert_01.req. С его помощью вы сможете получить сертификат в локальном доменном ЦС, либо отправить его публичному ЦС.
Использование самозаверяющего сертификата для клиентов outlook
2007, присоединенных к домену
Для работы самозаверяющего сертификата с клиентами
Microsoft Office Outlook 2007, присоединенными к
домену, не требуется дополнительная настройка. При подключении
таких клиентов не выводятся предупреждения безопасности, потому что
URL-адреса, используемые ими для подключения к службе
автообнаружения, ссылаются на внутреннее полное доменное имя
сервера клиентского доступа.
Самозаверяющий сертификат имеет общее
имя, сопоставленное с NetBIOS-именем сервера. Кроме того,
самозаверяющий сертификат включает полное доменное имя сервера в
качестве дополнительного DNS-имени, которое хранится в поле
дополнительного имени субъекта.
Это позволяет клиентам,
присоединенным к домену, успешно подключаться к службе
автообнаружения без вывода предупреждений о сертификате, так как
срок действия сертификата не истек, а полное доменное имя сервера,
к которому выполняется подключение, хранится в его поле
дополнительного имени субъекта.
Хотя клиенту не удается проверить
самозаверяющий сертификат до доверенного корня, это разрешается при
подключении клиентов, присоединенных к домену, к службе
автообнаружения с помощью самозаверяющего сертификата. Тем не менее
не рекомендуется долгосрочно применять самозаверяющий сертификат,
так как его основная цель — позволить отложить на некоторое время
получение надлежащего сертификата и дать клиентам Outlook 2007
возможность немедленно приступить к использованию
Exchange 2007.
Истечение
срока действия сертификата
Срок действия самозаверяющего сертификата истекает
через год после установки роли сервера клиентского доступа.
Внутренние компоненты, для которых требуются самозаверяющие
сертификаты по умолчанию, продолжают работать даже после истечения
срока действия такого сертификата. Тем не менее после истечения
срока действия самозаверяющего сертификата в средстве просмотра
событий регистрируются следующие события:
Тип события: Ошибка |
Источник события: MSExchangeTransport |
Категория события: TransportService |
Код события: 12021 |
Дата: дата |
Время: время |
Пользователь: Н/Д |
Компьютер: имя_сервера |
Описание: Microsoft Exchange не удается найти сертификат, содержащий имя Дополнительные сведения см. в центре справки и поддержки по |
Рекомендуется обновлять самозаверяющие сертификаты до
истечения срока их действия. Для обновления самозаверяющего
сертификата путем его клонирования можно использовать командную
консоль Exchange. Чтобы клонировать сертификат, прежде всего нужно
получить отпечаток текущего сертификата по умолчанию для домена с
помощью командлета Get-ExchangeCertificate.
В списке сертификатов в разделе Службы выберите
сертификат, который содержит символ W, например, IP.WS.
Наличие этого символа указывает, что сертификат назначен службам
IIS.
Чтобы клонировать сертификат, выполните следующий
командлет:
Клонированный сертификат получит отметку новой даты
окончания срока действия (через год с даты выполнения
командлета)
Как «прикрутить» ssl сертификат в exchange 2007 ?
Почему собственно возник такой вопрос? Да потому, что попытавшись сделать это на IIS 7 в win2008, я не обнаружил вот такой кнопки, как в iis 6:
Соответственно возник вопрос: Что необходимо сделать, чтоб не возникало вот такое окно?
Соответственно для этого, нам потребуется воспользоваться каким нибудь сертификатом. Можно конечно обратиться к платному центру сертификации, но зачем? Этот метод наверно популярен за бугром, но мы, простые русские люди, безгранично любящие халяву, не можем себе такого позволить, посему выхода два:
А теперь подробней:
Открываем Power Shell, и набираем следующие команды:
1) New-ExchangeCertificate
2) Enable-ExchangeCertificate –Thumbprint <thumbprint> -Services “IIS”
3) Import-ExchangeCertificate –Path c:exported_cert.pfx –Password:(Get-Credential).password
4) Применяем на Exchange
Развернув Центр Сертификации, вы можете обеспечить автоматический выпуск сертификатов по запросу пользователей. Следить за выданными сертификатами, а так же отзывать их при необходимости. Если же вам требуется выпустить всего один сертификат, чтобы обеспечить безопасную работу с корпоративным порталом, или с электронной почтой через OWA, то проще будет воспользоваться утилитой selfssl.exe.
Утилита selfssl.exe входит в комплект пакета IIS6 Resource Kit Tools. Данный пакет является бесплатным и доступен для свободного скачивания с сайта Microsoft — http://www.microsoft.com/downloads/details.aspx?familyid=56FC92EE-A71A-4C73-B628-ADE629C89499 Загрузив пакет, запустите его. После запуска вы увидите окно установки.
Выберите метод установки Custom и нажмите Next для продолжения установки.
Затем выберите путь для установки или оставьте тот, что уже указан, и нажмите Next
Пакет включает в себя много утилит. Нас же интересует только одно. Снимите все флажки кроме одного, как показано на рисунке выше. Затем нажмите Next.
Запустить установленную утилиту можно из меню Пуск, как показано на рисунке.
Как видно параметров, которые можно задать, довольно много. Давайте попробуем разобраться с каждым из них:
/N:CN задает имя вашего сайта, например owa.contoso.com.
/K: задает длину ключа. Значение по умолчанию 1024.
/V: количество дней до окончания действия сертификата.
/S: номер сайта в IIS. По умолчанию равен 1.
/P: номер порта. Стандартом является 443. Это же значение задано по умолчанию.
Например, вы решили выпустить сертификат для сайта owa.contoso.com сроком на один год. Нет ничего проще! Наберите следующую команду:
selfssl /N:cn=owa.contoso.com /V:365
И нажмите Ввод.
На вопрос “Do you want to replace the SSL settings for site 1 (Y/N)?” нажмите “y”. Если у вас не установлен IIS то вы получите сообщение “Error opening metabase: 0x80040154” – просто игнорируйте его.
Сертификат выпущен. Теперь вы можете делать с ним все, что угодно. Например, установить на ваш WEB-сайт. Давайте посмотрим, как это сделать. Для начала вам нужно выгрузить ваш сертификат. Для этого запустите Microsoft Management Console (MMC). Нажмите Пуск->Выполнить…-> наберите mmc и нажмите ввод.
В появившемся окне нажмите Add…
Пакет включает в себя много утилит. Нас же интересует только одно. Снимите все флажки кроме одного, как показано на рисунке выше. Затем нажмите Next.
Запустить установленную утилиту можно из меню Пуск, как показано на рисунке.
Запустив утилиту, вы увидите окно командной строки, в котором, задав необходимые параметры, вы сможете выпустить свой собственный сертификат безопасности.
Как видно параметров, которые можно задать, довольно много. Давайте попробуем разобраться с каждым из них:
/N:CN задает имя вашего сайта, например owa.contoso.com.
/K: задает длину ключа. Значение по умолчанию 1024.
/V: количество дней до окончания действия сертификата.
/S: номер сайта в IIS. По умолчанию равен 1.
/P: номер порта. Стандартом является 443. Это же значение задано по умолчанию.
Например, вы решили выпустить сертификат для сайта owa.contoso.com сроком на один год. Нет ничего проще! Наберите следующую команду:
selfssl /N:cn=owa.contoso.com /V:365
ИнажмитеВвод.
Навопрос “Do you want to replace the SSL settings for site 1 (Y/N)?” нажмите “y”. Если у вас не установлен IIS то вы получите сообщение “Error opening metabase: 0x80040154” – просто игнорируйте его.
Сертификат выпущен. Теперь вы можете делать с ним все, что угодно. Например, установить на ваш WEB-сайт. Давайте посмотрим, как это сделать. Для начала вам нужно выгрузить ваш сертификат. Для этого запустите Microsoft Management Console (MMC). Нажмите Пуск->Выполнить…-> наберите mmc и нажмите ввод.
Затем нажмите File –> Add/Remove Snap in…
В появившемся окне нажмите Add…
Затем выберите Certificates и нажмите Add…
ВыберитеComputer accountинажмитеNext
Теперь нажмите Finish
Оснастка добавлена. Нажмите Close, чтобы закрыть диалоговое окно и OK, чтобы перейти к работе с оснасткой.
РазвернитеCrtificates (Local Computer)затемPersonalивыберитеCertificates.Справа вы увидите ваш сертификат. Щелкните по нему правой кнопкой мыши. Выберите All Tasks, а затем Export.
В появившемся диалоговом окне нажмите Next.
Если вы хотите использовать сертификат на вашем WEB-сайте, то для этого понадобиться выгрузить приватный ключ. Выберите “Yes, export the private key” и нажмите Next.
И еще раз Next.
Так как вы выгружаете приватный ключ, то такой сертификат лучше запаролить. Введите пароль или оставьте поле пустым (последнее не рекомендуется) нажмите Next.
Введите имя файла, то под которым файл будет храниться на диске. Например, owa.contoso.com и нажмите Next.
В следующем окне нажмите Finish.
Сертификат выгружен и готов к использованию. Теперь его необходимо установить на вашем WEB-сайте.
Данную утилиту можно использовать для выпуска любых сертификатов, например для ISAServer. Поэтому я создал три сертификата:
1. dc1.mydomain.local
2. owa.mydomain.local
3. isa.mydomain.local
Всем удачи!
Sorry, the comment form is closed at this time.
Общие сведения о самозаверяющем
сертификате
При установке Exchange 2007 с ролью сервера
клиентского доступа создается самозаверяющий сертификат.
Самозаверяющий сертификат защищает данные, передаваемые между
серверами Exchange 2007 в организации. Он также является
временным решением для шифрования связи с клиентами, которое можно
использовать до получения и установки другого сертификата.
Самозаверяющий имеет две записи дополнительного имени субъекта:
одну для NetBIOS-имени сервера клиентского доступа, а другую — для
полного доменного имени сервера клиентского доступа. Хотя
самозаверяющий сертификат можно использовать для шифрования связи
между сервером клиентского доступа и другими ролями сервера
Exchange Server 2007, не рекомендуется использовать его с
клиентскими приложениями и устройствами. Из-за ограничений
самозаверяющего сертификата следует заменить его доверенным
сторонним сертификатом или сертификатом, подписанным
Windows PKI.
Ограничения
самозаверяющего сертификата
В представленном ниже списке описаны некоторые
ограничения самозаверяющего сертификата.
- Дата окончания срока действия: срок действия самозаверяющего
сертификата истекает через 12 месяцев после установки сервера
Exchange 2007. После этого требуется вручную создать новый
самозаверяющий сертификат с помощью командлета
New-ExchangeCertificate. - Мобильный Outlook: самозаверяющий сертификат не поддерживается
мобильным Outlook. Если применяется мобильный Outlook,
рекомендуется получить сертификат Windows PKI или доверенный
сторонний коммерческий сертификат. - Exchange ActiveSync: самозаверяющий сертификат нельзя
использовать для шифрования связи между устройствами
Microsoft Exchange ActiveSync и сервером Exchange.
Для использования Exchange ActiveSync рекомендуется получить
сертификат Windows PKI или доверенный сторонний коммерческий
сертификат. - Outlook Web Access: пользователи
Microsoft Outlook Web Access получат сообщение о
том, что сертификат, используемый для защиты
Outlook Web Access, не является доверенным. Эта ошибка
возникает из-за того, что сертификат не подписан центром, которому
доверяет клиент. Пользователи могут пропустить это сообщение и
использовать самозаверяющий сертификат для
Outlook Web Access. Тем не менее рекомендуется получить
сертификат Windows PKI или доверенный сторонний коммерческий
сертификат.
Истечение
срока действия сертификата
Срок действия самозаверяющего сертификата истекает
через год после установки роли сервера клиентского доступа.
Внутренние компоненты, для которых требуются самозаверяющие
сертификаты по умолчанию, продолжают работать даже после истечения
срока действия такого сертификата. Тем не менее после истечения
срока действия самозаверяющего сертификата в средстве просмотра
событий регистрируются следующие события:
Тип события: Ошибка |
Источник события: MSExchangeTransport |
Категория события: TransportService |
Код события: 12021 |
Дата: дата |
Время: время |
Пользователь: Н/Д |
Компьютер: имя_сервера |
Описание: Microsoft Exchange не удается найти сертификат, содержащий имя Дополнительные сведения см. в центре справки и поддержки по |
Рекомендуется обновлять самозаверяющие сертификаты до
истечения срока их действия. Для обновления самозаверяющего
сертификата путем его клонирования можно использовать командную
консоль Exchange. Чтобы клонировать сертификат, прежде всего нужно
получить отпечаток текущего сертификата по умолчанию для домена с
помощью командлета Get-ExchangeCertificate.
В списке сертификатов в разделе Службы выберите
сертификат, который содержит символ W, например, IP.WS.
Наличие этого символа указывает, что сертификат назначен службам
IIS.
Чтобы клонировать сертификат, выполните следующий
командлет:
Клонированный сертификат получит отметку новой даты
окончания срока действия (через год с даты выполнения
командлета)
Ограничения
самозаверяющего сертификата
В представленном ниже списке описаны некоторые
ограничения самозаверяющего сертификата.
- Дата окончания срока действия: срок действия самозаверяющего
сертификата истекает через 12 месяцев после установки сервера
Exchange 2007. После этого требуется вручную создать новый
самозаверяющий сертификат с помощью командлета
New-ExchangeCertificate. - Мобильный Outlook: самозаверяющий сертификат не поддерживается
мобильным Outlook. Если применяется мобильный Outlook,
рекомендуется получить сертификат Windows PKI или доверенный
сторонний коммерческий сертификат. - Exchange ActiveSync: самозаверяющий сертификат нельзя
использовать для шифрования связи между устройствами
Microsoft Exchange ActiveSync и сервером Exchange.
Для использования Exchange ActiveSync рекомендуется получить
сертификат Windows PKI или доверенный сторонний коммерческий
сертификат. - Outlook Web Access: пользователи
Microsoft Outlook Web Access получат сообщение о
том, что сертификат, используемый для защиты
Outlook Web Access, не является доверенным. Эта ошибка
возникает из-за того, что сертификат не подписан центром, которому
доверяет клиент. Пользователи могут пропустить это сообщение и
использовать самозаверяющий сертификат для
Outlook Web Access. Тем не менее рекомендуется получить
сертификат Windows PKI или доверенный сторонний коммерческий
сертификат.
Истечение
срока действия сертификата
Срок действия самозаверяющего сертификата истекает
через год после установки роли сервера клиентского доступа.
Внутренние компоненты, для которых требуются самозаверяющие
сертификаты по умолчанию, продолжают работать даже после истечения
срока действия такого сертификата. Тем не менее после истечения
срока действия самозаверяющего сертификата в средстве просмотра
событий регистрируются следующие события:
Тип события: Ошибка |
Источник события: MSExchangeTransport |
Категория события: TransportService |
Код события: 12021 |
Дата: дата |
Время: время |
Пользователь: Н/Д |
Компьютер: имя_сервера |
Описание: Microsoft Exchange не удается найти сертификат, содержащий имя Дополнительные сведения см. в центре справки и поддержки по |
Рекомендуется обновлять самозаверяющие сертификаты до
истечения срока их действия. Для обновления самозаверяющего
сертификата путем его клонирования можно использовать командную
консоль Exchange. Чтобы клонировать сертификат, прежде всего нужно
получить отпечаток текущего сертификата по умолчанию для домена с
помощью командлета Get-ExchangeCertificate.
В списке сертификатов в разделе Службы выберите
сертификат, который содержит символ W, например, IP.WS.
Наличие этого символа указывает, что сертификат назначен службам
IIS.
Чтобы клонировать сертификат, выполните следующий
командлет:
Клонированный сертификат получит отметку новой даты
окончания срока действия (через год с даты выполнения
командлета)
Случаи, в которых можно
использовать самозаверяющий сертификат
Самозаверяющий сертификат можно использовать для
шифрования связи для некоторых протоколов и в некоторых ситуациях.
Клиенты Outlook, присоединенные к домену, могут использовать
самозаверяющий сертификат для шифрования сообщений электронной
почты и канала связи между клиентом и сервером Exchange. Как
указывалось выше, пользователи
Outlook Web Access также могут шифровать каналы
связи с помощью самозаверяющих сертификатов. Кроме того, их можно
применять для шифрования связи между серверами клиентского доступа
на различных сайтах службы каталогов Active Directory. Для
правильной работы такого сценария (который называется
«перенаправление между серверами клиентского доступа») требуется
изменить реестр.
Использование самозаверяющего сертификата для клиентов outlook
2007, присоединенных к домену
Для работы самозаверяющего сертификата с клиентами
Microsoft Office Outlook 2007, присоединенными к
домену, не требуется дополнительная настройка. При подключении
таких клиентов не выводятся предупреждения безопасности, потому что
URL-адреса, используемые ими для подключения к службе
автообнаружения, ссылаются на внутреннее полное доменное имя
сервера клиентского доступа. Самозаверяющий сертификат имеет общее
имя, сопоставленное с NetBIOS-именем сервера. Кроме того,
самозаверяющий сертификат включает полное доменное имя сервера в
качестве дополнительного DNS-имени, которое хранится в поле
дополнительного имени субъекта. Это позволяет клиентам,
присоединенным к домену, успешно подключаться к службе
автообнаружения без вывода предупреждений о сертификате, так как
срок действия сертификата не истек, а полное доменное имя сервера,
к которому выполняется подключение, хранится в его поле
дополнительного имени субъекта. Хотя клиенту не удается проверить
самозаверяющий сертификат до доверенного корня, это разрешается при
подключении клиентов, присоединенных к домену, к службе
автообнаружения с помощью самозаверяющего сертификата. Тем не менее
не рекомендуется долгосрочно применять самозаверяющий сертификат,
так как его основная цель — позволить отложить на некоторое время
получение надлежащего сертификата и дать клиентам Outlook 2007
возможность немедленно приступить к использованию
Exchange 2007.
Использование самозаверяющего сертификата с перенаправлением
Установка сертификата на microsoft exchange 2007
Шаг 1. Сохраните полученный в емаил письме ваш сертификат в виде отдельного файлаСкопируйте с емаила сертификат SSL и обязательно скопируйте заголовок и нижний колонтитул
—– BEGIN CERTIFICATE —– и —– END CERTIFICATE —–
Убедитесь, что нет пробелов, дополнительных разрывов строк или дополнительных символов.
Шаг 2. Загрузите и установите промежуточный Intermediate chain сертификат Центра сертификации
Скопируйте и сохраните отдельным файлом промежуточный сертификат
Шаг 3. Найдите и отключите общедоступный первичный центр сертификации VeriSign Class 3 Public Primary Certification Authority – G5 Root CA certificate
- Создайте Certificate Snap-In in Microsoft Management Console (MMC)
- В открывшейся консоли MMC и оснастки «Сертификаты» разверните папку «Доверенные корневые центры сертификации»
слева и выберите подпапку «Сертификаты». - Найдите следующий сертификат:
Issued to: ;VeriSign Class 3 Public Primary Certification Authority – G5
Issued by: VeriSign Class 3 Public Primary Certification Authority – G5
Expiration Date: 7/16/2036
Serial Number: 18 da d1 9e 26 7d e8 bb 4a 21 58 cd cc 6b 3b 4a
- Если этот сертификат присутствует, он должен быть отключен.
- Щелкните правой кнопкой мыши сертификат
- Выберите Свойства
- В разделе «Цели сертификата» выберите «Отключить все цели для этого сертификата»
- Нажмите кнопку «ОК»
- Закройте MMC – нет необходимости сохранять настройки консоли
Шаг 4. Установка SSL сертификата:
Чтобы установить сертификат SSL на Microsoft Exchange 2007, вам необходимо использовать среду управления Exchange –
( Exchange Management Shell)
- Скопируйте файл сертификата SSL, например newcert.p7b и сохрание его на C: Exchange server.
- Откройте командную консоль Exchange. Нажмите «Пуск» > «Программы» > «Microsoft Exchange Server 2007» > «Командная консоль Exchange» .
- Запускайте команды Import-ExchangeCertificate и Enable-ExchangeCertificate
((обе команды запускаются в одной строке, разделенные символом pipe).Import-ExchangeCertificate -Path C:newcert.p7b | Enable-ExchangeCertificate -Services “SMTP, IMAP, POP, IIS”
Параметр Services может быть любой комбинацией этих значений: IMAP, POP, UM, IIS, SMTP.
Чтобы отключить сертификат, установите для параметра Services значение «Нет». - Убедитесь, что ваш сертификат включен, выполнив команду Get-ExchangeCertificate
C:> Get-ExchangeCertificate -DomainName your.domain.name
В столбце «Службы» буквы SIP и W обозначают SMTP , IMAP , POP3 и We b (IIS) .
Enable-ExchangeCertificate -ThumbPrint [paste] -Services “SMTP, IMAP, POP, IIS”
Перезапустите ваш сервер и проверьте работу SSL сертификата при помощи онлаин сервиса
Установка сертификата ссл на microsoft exchange 2021
Шаг 1. Сохраните ваш и соответствующий промежуточный сертикат в формате .p7b ( PKCS#7 ) в виде отдельных файлов
Шаг 2. Найдите и отключите сертификат VeriSign Class 3 Public Primary Certification Authority – G5 Root CA certificate
- Создайте Certificate Snap-In in Microsoft Management Console (MMC)
- В открывшейся консоли MMC и оснастки «Сертификаты» разверните папку «Доверенные корневые центры сертификации»
слева и выберите подпапку «Сертификаты». - Locate the following certificate:
Issued to: VeriSign Class 3 Public Primary Certification Authority – G5
Issued by: VeriSign Class 3 Public Primary Certification Authority – G5
Expiration Date: 7/16/2036
Serial Number: 18 da d1 9e 26 7d e8 bb 4a 21 58 cd cc 6b 3b 4a
- Если этот сертификат присутствует, он должен быть отключен.
- Щелкните правой кнопкой мыши по сертификату
- Выберите Свойства
- В разделе «Цели сертификата» выберите «Отключить все цели для этого сертификата»
- Нажмите ОК.
- Закройте MMC, не сохраняя настройки консоли.
Шаг 3. Установка SSL сертификата
- Откройте «Пуск» > «Администрирование» > «Менеджер служб IIS» .
- В левом меню выберите имя соответствующего сервера.
- В области «Свойства» (средняя панель) в разделе «Безопасность» дважды щелкните «Сертификаты сервера» .
- На панели «Действия» (правая панель) выберите «Полный запрос сертификата» .
- Укажите местоположение файла сертификата и дружественное имя.
Дружественное имя является ссылочным именем для быстрой идентификации сертификата для администратора.
Убедитесь, что выбрано личное хранилище, затем нажмите «ОК» .
Шаг 4. Связывание служб с сертификатом с помощью Центра администрирования Exchange:
Установка сертификатаssl через exchange powershell
1. Запустите Exchange Powershell.
2. Запустите следующую команду:
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content
-Path c:your_domain_name.crt -Encoding byte -ReadCount 0)) |
Enable-ExchangeCertificate -Services “IIS,POP,IMAP,SMTP”
Укажите путь к Вашему сертификату SSL после “-Path” и выберите сервис который Вы хотите защищать после “Services”.
Установка промежуточного сертификата (Intermediate Certificate)
1.Получите промежуточный сертификат соответствующий вашему SSL сертификату
Скопируйте и вставьте содержимое в текстовый файл с расширением .crt
2. Запустите консоль Microsoft Management Console (следуйте Start > Run > MMC).
3. Перейдите File >Add/Remove Snap-in.
4. Кликните Add. Выберите Certificates и кликните Add.
5. Выберите Computer Account. Кликните Next и выберите Local Computer.
6. Кликните Finish.
7. В MMC, кликните правой кнопкой мыши на Intermediate Certification Authorities и перейдите All Tasks > Import.
8. Клкните Browse и выберите Ваш промежуточный (intermediate) сертификат (из шага 1).
9. Кликните Дальше.