Памятка по созданию сертификатов SSL для Exchange 2010/2013 (локальный CA) | Блог IT’шника

Памятка по созданию сертификатов SSL для Exchange 2010/2013 (локальный CA) | Блог IT'шника Сертификаты
На чтение 23 мин. Просмотров 55 Опубликовано
Содержание
  1. Установка центра сертификации в домене
  2. Настройка центра сертификации
  3. Запрос сертификата для сервера Exchange 2021
  4. Получение сертификата из центра сертификации
  5. Распространение сертификата
  6. Wildcard ssl cert on exchange
  7. Документация по ssl сертификатам | domains
  8. Сертификат let’s encrypt на exchange server 2021/2021/2021 — iteron
  9. Создание сертификата для exchange 2021 / issuing a certificate for exchange 2021
  10. Установка ssl сертификата через консоль exchange management console
  11. Установка сертификата ссл на microsoft exchange 2021
  12. Установка сертификатаssl через exchange powershell
  13. Памятка по созданию сертификатов ssl для exchange 2021/2021 (локальный ca)
  14. Заключение

Установка центра сертификации в домене

На сервере под управлением 2008 R2, например, на контроллере домена запускаем Server Manager (Диспетчер сервера) и добавляем роль (ссылкой Add Roles) «Active Directory Certificate Services»

Кнопка Next>

Кнопка Add Required Role Services

Отмечаем верхние 2 пункта (остальной по желанию)

Задаем срок действия сертификатов, выданных этим центром сертификации

Настройка центра сертификации

По умолчанию центр сертификации генерирует сертификаты, которые обслуживают только по одному имени субъекта. Т.е. для каждого имени нужно генерировать отдельный сертификат. Чтобы разрешить выпуск сертификатов с несколькими альтернативными именами субъектов, необходимо на сервере с ролью Центра сертификации выполнить команду:

certutil -setreg policyEditFlags  EDITF_ATTRIBUTESUBJECTALTNAME2

и перезапустить службы сертификации:

net stop certsvc & net start sertsvc

Запрос сертификата для сервера Exchange 2021

В консоли управления Exchange Server 2021: Server Configuration – правый клик на имени сервера (либо в правой нижней области) – New Exchange Certificate

Вводим понятное имя создаваемого сертификата (можно кириллицей), например, «Доменный сертификат Exchange», кнопка Next.

Страницу Domain Scope (Область домена) пропускаем. Дальше интересное:

На странице Exchange Configuration (Конфигурация сервера Exchange) разворачиваем узел Client Access server (Outlook Web App)

и устанавливаем оба флажка:— Outlook Web App is on the Intranet— Outlook Web App is on the InternetПроверяем, чтобы во втором поле было указано корректное имя, на которое ссылается MX запись для вашего домена на внешних DNS серверах.

Разворачиваем узел Client Access server (Exchange ActiveSync). Должен быть установлен флажок Exchange Active Sync is enabled

Получение сертификата из центра сертификации

Находим только что сохраненный файл CertRequest.req и открываем его в Блокноте. Ctrl A, Ctrl C (сохраняем содержимое файла в буфер обмена) и закрываем Блокнот.

Распространение сертификата

В домене сертификат распространится автоматически вместе с обновлением групповых политик. Для немедленного тестирования можно на клиенте выполнить команду

gpupdate /force

Wildcard ssl cert on exchange

No issue with wildcard, just not best practice.

The issues may revolve around the CertPrincipalName option if it’s currently setup. Change it using my guide below and you wont have a problem.

You need to make sure your OutlookAnywhere and AutoDiscover settings are setup properly along with Split-DNS. OutlookAnywhere and Split-DNS are vital for future-proofing your Exchange configuration and making it work properly now, regardless if you use Exchange 2007, 2021, or 2021. For Exchange 2021, OutlookAnywhere is a requirement and Split-DNS is Best Practice. If you are on Exchange 2007 or 2021, and you do not have OutlookAnywhere enabled, enable OutlookAnywhere and follow this guide.

You should always use NTLM over Basic authentication, as Basic sends the username and password in the clear, and NTLM is Windows Authentication. On Exchange 2021, you also have a new option called Negotiate, which is recommended. As you follow this guide, you will set the ClientAuthenticationMethod (Internal and External if on Exchange 2021) to NTLM and IISAuthenticationMethods to Basic,NTLM (and Basic,NTLM,Negotiate for Exchange 2021). Please also turn on SSLOffloading.

As DNS is a vital component in any network, please make sure that Split-DNS is setup first before doing anything else. To make sure Split-DNS is working properly, ping the OWA URL and AutoDiscover URL (eg. mail.domain.com and autodiscover.domain.com). These should both respond from an internal computer to the internal IP of your Exchange server (eg. 192.168.1.55). Then from an external source, ping the OWA URL and AutoDiscover URL (eg. mail.domain.com and autodiscover.domain.com). They should both respond externally to your external IP of the mail server (eg. 38.55.11.55). To confirm that Split-DNS is working correctly:

From an internal computer:

These should resolve to your internal IP of your mail server (eg. 192.168.1.55).

From an external computer:

These should resolve to your external IP of your mail server (eg. 38.55.11.55).

To fix the external records (more than likely, autodiscover is the one that doesn’t exist and needs to be created), on your domain’s name servers create an A record for autodiscover.domain.com and point it to the external IP of your mail server (eg. 38.55.11.55).

To fix the internal records, the easiest way to do this is to create a DNS Zone (Active Directory – Integrated) for mail.domain.com (assuming that is your OWA URL) and then create a blank A Record and point it to your internal IP Address for your mail server (eg. 192.168.1.55). Then create another DNS Zone (Active Directory – Integrated) for autodiscover.domain.com and create a blank A record and point it to the internal IP Address of your mail server (eg. 192.168.1.55).

After Split-DNS is confirmed working, the next thing to check is the Virtual Directories and the Client Access Server Autodiscover URI and fix them accordingly too. All InternalUrl and ExternalUrl’s should be setup using the hostname mail.domain.com (assuming mail.domain.com is the OWA URL that you chose).

If some of these Exchange PowerShell commands error out, don’t worry, these are to provide everything from Exchange 2021 back to 2007. Run these commands and keep them as a text file as a backup of what you currently have for settings should you need to reference what something used to be.

After taking a backup of the output above, let’s proceed with the steps to fix your environment. Change the ExternalClientAuthenticationMethod (ClientAuthenticationMethod on Exchange 2021) to NTLM and turn on SSLOffloading. If you’re on Exchange 2021, with all Outlook 2021 clients, I would suggest setting ExternalClientAuthenticationMethod, InternalClientAuthenticationMethod and IISAuthenticationMethods to Negotiate, otherwise, keept it with NTLM for backwards compatability of Outlook 2021 and Outlook 2007 clients.

For Exchange 2021

For Exchange 2021

Set the CertPrincipalName for the OutlookProvider settings.

Про сертификаты:  Подарочный сертификат на издание книги

Set the CAS Autodiscover to the OWA Hostname:

Set All VirtualDirectories to the OWA Hostname except for the AutodiscoverVirtualDirectory which stays blank for InternalURL and ExternalURL.

Restart IIS and the Microsoft Exchange Transport Services

Another thing that is really handy, is to make OWA accessible by http redirecting to https so that your users don’t have to remember to type https. The easiest and best way that I’ve found to do this is to edit the Default Website’s Error Pages and set the 403 error to redirect to https://mail.domain.com/owa. You will need to re-apply this after every Cumulative Update (CU) that you perform as the CUs will revert these settings to defaults.

To do this:

  1. Open IIS
  2. Navigate to the Default Web Site on the left.
  3. On the right, double click on Error Pages
  4. Double click on the 403 Status Code.
  5. Change the Response Action to “Respond with a 302 redirect” and in the Absolute URL: type in https://mail.domain.com/owa
  6. Press OK and close IIS.
  7. Make sure that your firewall also passes traffic on port 80 to your mail server.
  8. In your browser, type in mail.domain.com and hit enter. It should find it and redirect you to the OWA Login.

If you don’t already have a proper 3rd party certificate, I would suggest taking the plunge for $37.10 CAD / $29.88 USD

https://www.namecheap.com/cart/addtocart.aspx?producttype=ssl&product=positivessl-multi-domain&a…

NameCheap has PositiveSSL Multi Domain certs with the first 3 hostnames included.

You’re going to need at least 2 – mail.domain.com (OWA URL, and Subject of the Cert) and autodiscover.domain.com (Subject Alternative Name – or SAN). A wildcard certificate will work, but a SAN certificate is best practice as if a wildcard certificate is compromised, any name can be secured, but if a SAN certificate is compromised, then only those hostnames specified can be secured.

The time it will take you to troubleshoot trying to use a self-signed certificate or one from an in-house CA (if you have one)… will cost your company more money in terms of time than just buying a certificate using the link I gave you above. Oh, and I don’t make any commission or anything from that link – it’s a direct link to the SSL Cert you need.

Also, for Exchange testing, (Autodiscover and Connectivity) you can use Microsoft’s TestConnectivity site to help troubleshoot your issues.

https://testconnectivity.microsoft.com

§

Stopping the Information Store service dismounts the database file on this server. Starting it mounts it. The mailboxes will be unavailable for the duration. After the service is restarted, offline changes should be synced from the other server.

As I understand the question, you’re simply trying to install a physically larger drive.

As long as, in the end, the absolute paths and drive letters are the same, I see no reason why this won’t work. Even though this is a DAG, it should be no different than shutting this server down for a while.

Make sure that, in addition to the database, all transaction logs, checkpoint files, and other associated files and folders are also copied over (with identical permissions and paths).

You can’t just use Exchange tools to move the database to a different path, because the path has to be the same on all servers; moving it on one causes it to move on the others. https://my-sertif.ru/en-us/exchange/move-the-mailbox-database-path-for-a-mailbox-database-copy-exchange-2021-help

§

§

Документация по ssl сертификатам | domains

Общие вопросы

Зачем нужен SSL-cертификат?

Что такое CSR?

CSR (Certificate Signing Request) – запрос на получение сертификата. Это файл, который содержит в себе небольшой фрагмент зашифрованных данных о домене и владеющей доменом организации. Также в этом файле хранится открытый ключ, используемый при шифровании данных. Обычно при заказе сертификата CSR генерируется автоматически, используя данные из анкеты для сертфиката. При необходимости вы можете выбрать опцию “Свой CSR”. В этом случае вам потребуется самостоятельно сгенерировать CSR и загрузить его в нашу систему после оплаты заказа.

Можно ли заказать freeSSL для поддомена (не www)?

Нет, бесплатный сертификат можно заказать только для домена 2 уровня.

Можно ли заказать на несколько лет (доступно на 3, что будет через год)?

Некоторые типы сертификатов можно заказать сразу на несколько лет. Это удобно, т.к. не требуется проводить ежегодные работы по перевыпуску и переустановке сертификата на веб-сервер. Максимально возможный срок заказа будет виден при оформлении заказа на сертификат.

Как установить SSL на хостинге Webnames.ru?

Сертификат устанавливается вручную нашей службой поддержки. Для установки сертификата необходимо:

  1. Подключить к хостингу услугу выделенного IP-адреса (предоставляется бесплатно на тарифе “Эксперт”, на других тарифах – за отдельную плату).
  2. Загрузить в любой каталог на сервере файл сертификата (.crt), незашифрованный секретный ключ без пароля (.nokey) и, желательно, intermediate сертификат (.ca-bundle).
  3. Сообщить в службу поддержки о необходимости установить сертификат, указав, в каком каталоге размещены файлы.

Как установить SSL на чужом хостинге?

Для установки сертификата на стороннем хостинге вам необходимо обратиться к своему хостинг-провайдеру.

В чем различие всех сертификатов?

Ключевые различия сертификатов:

  • Возможность работы с кириллическими доменами (например, для доменов .рус).
  • Доступность для частных (физических) лиц. Некоторые типы сертификатов доступны только для организаций.
  • Сертификаты типа Wildcard защищают не только сам домен, но и все возможные субдомены на его базе.
  • Сертификаты типа EV (Extended Validation) подтверждают факт принадлежности доменного имени конкретной организации. Такой сертификат отображается в браузере пользователя как “Зеленая адресная строка”, это сразу заметно пользователю и в итоге это вызывает больше доверия к сайту. Выпуск такого сертификата требует прохождения дополнительных проверок организации-заказчика.

В чем различие сертификационных центров?

Бренд сертификационного центра влияет на цену сертификата. Простой сертификат от Symantec при прочих равных всегда будет дороже, чем, например, аналогичный сертификат от Comodo, хотя практической разницы между ними может не быть. Некоторые сертификационные центры не выпускают сертификатов для кириллических доменов. Например, если вам нужен простой и дешевый сертификат для кириллического домена, то выбор ограничится только сертификатами от Thawte.

Какой сертификат нужен для доступа по https без подтверждения?

Подойдёт любой простой сертификат. Например Geotrust RapidSSL или Comodo Essential SSL. Для кириллического домена – Thawte SSL123.

Заказ SSL-сертификата

Как заказать сертификат?

Заказ сертификата происходит в несколько шагов:

  1. Необходимо заполнить анкету в разделе «Кабинет» /
    «Мои анкеты для SSL»
    портала domains.webmoney.ru
  2. До заказа услуги у Вас должен существовать и функционировать почтовый
    ящик, указанный в поле «Основной email» анкеты. Если этого ящика нет,
    то необходимо его создать и проверить работоспособность. На этот email будет
    отправлен запрос от компании выдающей сертификат с просьбой подтвердить его
    получение. Без него сертификат не может быть получен.

    Внимание!
    Если сертификат заказывается для поддомена www.your_domain_name.tld, то и ящик
    должен иметь вид admin@WWW.your_domain_name.tld, а не admin@your_domain_name.tld

  3. Начать оформление SSL сертификата можно из раздела «Хостинг и услуги» / «Сертификаты SSL»
  4. На открывшейся странице выберите тип сертификата и нажмите «Купить».
  5. Укажите имя домена, для которого необходим сертификат. Не ставьте флажок «Свой CSR», если Вы не знаете, что это такое. Нажмите «Заказать».
  6. Заполните поля «Период» (время на которое будет заказан сертификат),
    «Анкета с необходимыми контактными данными», выберите удобный способ оплаты, поставьте галочку напротив
    «Я соглашаюсь с условиями оказания услуг» и нажмите кнопку «Оплатить»
  7. В течение суток на почтовый ящик, указанный в анкете для сертификата
    будет прислано письмо от удостове­рящего центра с запросом о подтверждении издания сертификата.
    По ссылке в этом письме необходимо подтвердить Ваше желание получить SSL сертификат.
  8. В течение часа после подтверждения на контактный e-mail поступит письмо от удостоверяющего центра.
    В этом письме будет ссылка на архив с сертификатом. В архиве 2 SSL сертификата «Web Server CERTIFICATE» и «INTERMEDIATE CA:».
    Web Server CERTIFICATE нужно сохранить ( включая строки «—–BEGIN CERTIFICATE—–» и «—–END CERTIFICATE—–» ) в отдельный файл с именем your_domain_name.crt — это серверный сертификат, а INTERMEDIATE CA нужно сохранить(также включая строки «—–BEGIN CERTIFICATE—–» и «—–END CERTIFICATE—–» ) с именем root.crt — это сертификат центра сертификации. Серверный сертификат ни в коем случае не должен попасть в руки злоумышленников. В случае если сертификат был получен злоумышленником сертификат необходимо аннулировать и заказать новый. После того как сертификаты будут сохранены письмо, в целях безопасности, необходимо удалить.
Про сертификаты:  Обязательная сертификация компьютерной техники Акты, образцы, формы, договоры Консультант Плюс
Установка на сервер

Установка SSL сертификата на Microsoft IIS 7

Установка SSL-сертификата на Microsoft IIS 5/6

Установка SSL-сертификата на Exchange 2007

  1. Загрузите и переименуйте ваш сертификат. Он должен называться your_domain_name.cer.
  2. Скопируйте your_domain_name.cer на диск С:
    вашего Exchange сервера.
  3. Откройте Exchange Management Shell. Для этого нажмите Пуск –
    Программы – Microsoft Exchange Server 2007 и выберите Exchange Management Shell.
  4. Запустите команды Import-ExchangeCertificate и Enable-ExchangeCertificate
    вместе (обе команды в одной строке, разделяя чертой):
    [PS] C:>Import-ExchangeCertificate -Path C:your_domain_name.cer | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"

    Сервис-опции могут принимать любые из значений: IMAP, POP, UM, IIS, SMTP.
    Чтобы отключить сертификат, установите параметр “None”.

  5. Убедитесь, что ваш сертификат позволяет запустить команду Get-ExchangeCertificat.

    [PS] C:> Get-ExchangeCertificate -DomainName your.domain.name

    Thumbprint

    ———-

    136849A2963709E2753214BED76C7D6DB1E4A270

    Services

    ———-

    SIP.W

    Subject

    ———-

    CN=your.domain.name

    [PS] C:>

    В столбике Services буквы SIP и W выставленны для SMTP, IMAP, POP3 и Web (IIS).

  6. Если ваш сертификат не правильно включен, вы можете перезапустить
    команду Enable-ExchangeCertificate со вставкой отпечатка аргумента
    вашего сертификата, как например:

    [PS]C:>Enable-ExchangeCertificate -ThumbPrint [paste] -Services "SMTP, IMAP, POP, IIS"
  7. Протестируйте сертификат при помощи соединения вашего сервера с IE, ActiveSync,
    или Outlook.
    Если вы используете ISA 2004 или ISA 2006 – надо перезагрузить систему.
    Некоторые пользователи сообщают, что сервисы ISA не хотят отправлять
    промежуточный сертификат, пока не будет выполнена перезагрузка.

Установка SSL-сертификата на Exchange 2021

  1. Скопируйте ваш сертификат на Exchange сервер.
  2. Запустите консоль управления Exchange следующим образом: Start >
    Programs > Microsoft Exchange 2021 > Exchange Management Console.
  3. Нажмите «Manage Databases» и далее «Server configuration».
  4. Выберите ваш сертификат из меню в центре окна, затем нажмите на
    «Complete Pending Request» в меню «Actions».
  5. Откройте файл вашего сертификата, после нажмите Open > Complete
  6. Довольно часто Exchange 2021 выдает сообщение об ошибке, начинающееся
    фразой «The source data is corrupted or not properly Base64 encoded.»
    Игнорируйте данную ошибку.
  7. Далее, для того, чтобы начать использовать сертификат, вернитесь к
    консоли управления Exchange и нажмите «Assign Services to Certificate.»
  8. Выберите ваш сервер из списка, нажмите «Next».
  9. Выберите сервисы, которые должны быть защищены сертификатом,
    нажмите Next > Assign > Finish.
  10. Ваш сертификат теперь установлен и готов к использованию на Exchange.

Установка SSL-сертификата на Courier IMAP

Установка SSL-сертификата на Apache

Установка SSL-сертификата на Nginx

Сертификат let’s encrypt на exchange server 2021/2021/2021 — iteron

Скачиваем win-acme (на момент написания версия v1.9.12.1, в ней содержится баг, решение ниже)

Эта программа будет заниматься выпуском сертификата, его установкой и обновлением.

Открываем к серверу Exchange доступ по 80 и 443 портам. И не забываем создать А записи на DNS, которые будут ссылаться на наш Exchange.

Распаковываем содержимое скачанного архива, например, в папку LetsEncrypt.

Теперь нужно сделать изменения, так как скрипт не корректно работает, подробнее тут.

Изменяем файл C:letsencryptscriptsImportExchange.ps1строчку 94

Изменяем файл C:letsencryptscriptsPSScript.bat на следующее значение:

Открываем командную строку с правами администратора, переходим в папку “LetsEncrypt” и выполняем скрипт указанный ниже (только замените выделенные жирным фрагменты на свои)

letsencrypt.exe --plugin manual --manualhost mail.domain.com,autodiscover.domain.com --validation selfhosting --installation iis,manual --installationsiteid 1 --script "./Scripts/PSScript.bat" --scriptparameters "{0} {5} C:ProgramDatawin-acmehttpsacme-v01.api.letsencrypt.orgmail.domain.com-all.pfx"

Для теста запустите:

letsencrypt.exe --test --plugin manual --manualhost mail.domain.com,autodiscover.domain.com --validation selfhosting --installation iis,manual --installationsiteid 1 --script "./Scripts/PSScript.bat" --scriptparameters "{0} {5} C:ProgramDatawin-acmehttpsacme-v01.api.letsencrypt.orgmail.domain.com-all.pfx"

В результате теста, если у вас что-то неправильно, то win-acme не заблокирует Вас после 5 неудачных попыток.

В итоге мы получим SAN сертификат для 3-х доменных имен (mail.domain.com,exch.domain.com,autodiscover.domain.com), который будет автоматически установлен в Exchange для служб IIS,SMTP,IMAP. Сам сертификат будет размещен в папке C:Central_SSL, а в планировщике заданий будет создан скрипт, который ежедневно будет проверять, не нужно ли перевыпустить сертификат. Подтверждение ваших доменов происходит в автоматическом режиме, путем создания временного сайта в IIS.

За основу взяты статьи:

https://medium.com/@gofys_/ssl-сертификат-на-exchange-server-2021-2021-2021-бесплатно-без-смс-и-регистрации-37551ef8cbba

https://mangolassi.it/topic/18260/exchange-2021-let-s-encrypt-setup

Let’s Encrypt для Exchange и Postfix

(Всего просмотров: 9 283, просмотров сегодня: 7)

Создание сертификата для exchange 2021 / issuing a certificate for exchange 2021

    В случаях когда Outlook регулярно мешает пользователям, выдавая им сообщение с вопросом

“Доверяете ли вы этому сертификату?”

, либо же Outlook Web Access выдаёт сообщение, что проблемы с сертификатом для этой страницы, то вам нужно разобраться с сертификатом в Exchange.

   Вам потребуется сервер с установленной ролью Certificate Authority. Не совмещайте её с сервером Exchange. У меня был печальный опыт, потому не рекомендую. Ставьте на отдельный. 

Certificate Authority Intallation

   Итак:
1) Создаём запрос на сертификат

2) Даём понятное имя:

 3) Wildcard пропускаем, так как нам нужно указать сервисы под которые он будет работать:

4) Прописываем доменные имена под каждый сервис:

 Последний я не указывал…

5) Выбираем основное имя:

6) Указываем данные по компании:

7) Создаём:

 Готово…

8) Открываем сохранённый файл .req в блокноте и видим:

—–BEGIN NEW CERTIFICATE REQUEST—–
MIIEbjCCA1YCAQAweDEUMBIGA1UEAwwLbWFpbC52MWEucnUxDzANBgNVBAsMBkFk
bWluczEgMB4GA1UECgwX0KbQtdC90L3Ri9C5INCh0L7QstC10YIxDzANBgNVBAcM
Bk1vc2NvdzEPMA0GA1UECAwGTW9zY293MQswCQYDVQQGEwJSVTCCASIwDQYJKoZI
hvcNAQEBBQADggEPADCCAQoCggEBALaQlSVGyt4 8rW/ffcqlMHxgcx4nndmnJHa
ljq35bKjUjFeg9kX3VfzySnX43jKQpDqN4EzzHmtwU2Ys3XLAB1SRLLjNSJ2w1f3
3HevROZMwyLMEz7r8c9GtaCoPZpThRtBG867AzDWBvOMOKi2AIDx19L3lu8fTQFt
h1 PE4xqi5ryCGrqs38QC5pO1uqCC2M1VW2QcEwHzM3z7rD1rp8CAwEAAaCCAa8w
GgYKKwYBBAGCNw0CAzEMFgo2LjEuNzYwMS4yMFUGCSsGAQQBgjcVFDFIMEYCAQUM
cgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEAbgBuAGUAbAAgAEMAcgB5AHAA
dABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkAZABlAHIDAQAwgcUGCSqGSIb3
DQEJDjGBtzCBtDAOBgNVHQ8BAf8EBAMCBaAwdQYDVR0RBG4wbIIPcG9zdDIuc292
UtOG/jRlmUWNhHs/inxhJxg4zVeLcA29/ydf c 0rNPzIAZxrcGXfkVMav6GPA6L
TpdaMOeqak9S1KWcGnI3xmKTx6ccNh5CHpFs/u2VY5iNeg==
—–END NEW CERTIFICATE REQUEST—–

9) Открываем страницу нашего, развёрнутого, СА – http://ca.company.local/certsrv

10) Завершаем запрос:

 Указываем путь к только что скачанному сертификату с СА:

11) Может появиться ошибка, что данный сертификат не пригоден для Exchange:

12) Открываем снова страницу СА и скачиваем корневой сертификат:

 13) Открываем оснастку

MMC 

 и добавляем Сертификаты. Далее импортируем последний скачанный сертификат в Доверенные Корневые:

14) Обновить консоль Exchange. Сертификат оживёт.

15) Чтобы клиенты Outlook и OWA не кричали на сертификат, его нужно раздать на клиенты при помощи политики (корневой сертификат и положит в Корневые Доверенные):

16) После применения политики, вы должны увидеть сертификат на рабочих станциях.

      Открываем Internet Explorer и смотрим что находится в Корневых Доверенных Центрах:

Установка ssl сертификата через консоль exchange management console

1. После того как Вы получили Ваш сертификат SSL по e-mail, скопируйте
и вставьте содержимое файла (Включая тегиs —–BEGIN CERTIFICATE—–
and —–END CERTIFICATE—– ) и сохраните файл с расширением .crt используя Notepad или Wordpad.

2. Скопируйте ваш файл .crt на диск c: на Вашем сервере Exchange.

3. Запустите Exchange Management Console (расположена Start > Programs > Microsoft Exchange 2021).

4. Кликните линк Manage Databases и перейдите Server Configuration.

5. Выберите ваш сертификат (меню в центре экрана) и кликните в меню Actions menu Complete Pending Request.

6. Перейдите к файлу .crt и кликните Open > Complete.

Примечание: Если появится сообщение об ошибке “The source data is corrupted or not properly Base64 encoded.” проигнорируйте его

7. Вернитесь в консоль Exchange Management Console, кликните правой кнопкой на сертификате и выберите Assign Services to Certificate.

8. Выберите ваш сервер в списке и кликните Next.

9. Выберите сервис который Вы хотите защищать сертификатом SSL.

Установка сертификата ссл на microsoft exchange 2021

Шаг 1. Сохраните ваш и соответствующий промежуточный сертикат в формате .p7b ( PKCS#7 ) в виде отдельных файлов

Шаг 2. Найдите и отключите сертификат VeriSign Class 3 Public Primary Certification Authority – G5 Root CA certificate

  1. Создайте Certificate Snap-In in Microsoft Management Console (MMC)
  2. В открывшейся консоли MMC и оснастки «Сертификаты» разверните папку «Доверенные корневые центры сертификации»
    слева и выберите подпапку «Сертификаты».
  3. Locate the following certificate:
    Issued to: VeriSign Class 3 Public Primary Certification Authority – G5
    Issued by: VeriSign Class 3 Public Primary Certification Authority – G5
    Expiration Date: 7/16/2036
    Serial Number: 18 da d1 9e 26 7d e8 bb 4a 21 58 cd cc 6b 3b 4a

    Памятка по созданию сертификатов SSL для Exchange 2010/2013 (локальный CA) | Блог IT'шника

  4. Если этот сертификат присутствует, он должен быть отключен.
  5. Щелкните правой кнопкой мыши по сертификату
  6. Выберите Свойства
  7. В разделе «Цели сертификата» выберите «Отключить все цели для этого сертификата»

    Памятка по созданию сертификатов SSL для Exchange 2010/2013 (локальный CA) | Блог IT'шника

  8. Нажмите ОК.
  9. Закройте MMC, не сохраняя настройки консоли.

Шаг 3. Установка SSL сертификата

  1. Откройте «Пуск» > «Администрирование» > «Менеджер служб IIS» .
  2. В левом меню выберите имя соответствующего сервера.
  3. В области «Свойства» (средняя панель) в разделе «Безопасность» дважды щелкните «Сертификаты сервера» .
  4. На панели «Действия» (правая панель) выберите «Полный запрос сертификата» .
  5. Укажите местоположение файла сертификата и дружественное имя.

    Памятка по созданию сертификатов SSL для Exchange 2010/2013 (локальный CA) | Блог IT'шника Дружественное имя является ссылочным именем для быстрой идентификации сертификата для администратора.
    Убедитесь, что выбрано личное хранилище, затем нажмите «ОК» .

    Памятка по созданию сертификатов SSL для Exchange 2010/2013 (локальный CA) | Блог IT'шника

Шаг 4. Связывание служб с сертификатом с помощью Центра администрирования Exchange:

Установка сертификатаssl через exchange powershell

1. Запустите Exchange Powershell.

2. Запустите следующую команду:

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content
-Path c:your_domain_name.crt -Encoding byte -ReadCount 0)) |
Enable-ExchangeCertificate -Services “IIS,POP,IMAP,SMTP”

Укажите путь к Вашему сертификату SSL после “-Path” и выберите сервис который Вы хотите защищать после “Services”.

Установка промежуточного сертификата (Intermediate Certificate)

1.Получите промежуточный сертификат соответствующий вашему SSL сертификату
Скопируйте и вставьте содержимое в текстовый файл с расширением .crt

2. Запустите консоль Microsoft Management Console (следуйте Start > Run > MMC).

3. Перейдите File >Add/Remove Snap-in.

4. Кликните Add. Выберите Certificates и кликните Add.

5. Выберите Computer Account. Кликните Next и выберите Local Computer.

6. Кликните Finish.

7. В MMC, кликните правой кнопкой мыши на Intermediate Certification Authorities и перейдите All Tasks > Import.

8. Клкните Browse и выберите Ваш промежуточный (intermediate) сертификат (из шага 1).

9. Кликните Дальше.

Памятка по созданию сертификатов ssl для exchange 2021/2021 (локальный ca)

exchange2

В данной памятке предполагается:

Последовательность команд:

1. $Data = New-ExchangeCertificate -server SERVERFQDN -SubjectName “c=RU, o=ORGNAME, cn=SERVERFQDN” -generaterequest -friendlyname “Exchange Cert for WEB Services” -domainname [все FQDN через запятую без пробелов] -PrivateKeyExportable $true

Указать следующие имена SAN(параметр -domainname):
— короткое (NetBIOS) название сервера(например EX-CAS1);
— все FQDN, по которым к серверу получают доступ пользователи и приложения, как внутренние, так и внешние (через Интернет), например EX-CAS1.contoso.local; OWA.contoso.com ;
— имя autodiscover.AD_DOMAIN_FQDN (например autodiscover.contoso.com);

Запрос должен быть создан на сервере Exchange, на котором впоследствии будет импортирован соответствующий сертификат (использовать параметр -server)

2. Set-Content -path “c:certEXcertreq.txt” -Value $Data

3. certreq -attrib “CertificateTemplate:WebServer” -attrib “Exportable:TRUE” -submit c:certEXcertreq.txt c:certEXcert.cer

будет отображено окно с запросом, к какому из перечисленных в нем СА
отправлять запрос — выбрать тот на котором опубликован шаблон сертификата
веб-сервера

4. Import-ExchangeCertificate -Server SERVER_FQDN -FileData ([Byte[]]$(Get-Content -Path c:certEXcert.cer -Encoding byte -ReadCount 0))

Импортируем в Exchange сертификат

5. Get-ExchangeCertificate -Server SERVER_FQDN | fl

Узнаем THUMBPRINT

6. Enable-ExchangeCertificate -Server SERVER_FQDN -thumbprint THUMBPRINT -services
“SMTP,IIS,POP,IMAP”

Назначаем сертификат

7. Get-ExchangeCertificate -Server SERVER_FQDN

Проверяем

Есть гибридный способ:

— делаем через ECP запрос на сертификат (файл.req)

certreq -attrib “CertificateTemplate:WebServer” -attrib “Exportable:TRUE”  — выбираем наш запрос req, получаем сертификат

— импортируем на exchange

Заключение

На этом тему выдачи сертификата мы закончим. В следующей статье поговорим про публикацию самих сервисов Exchange 2021 в сеть Интернет.

Данная статья является частью цикла “

Публикация сервисов Exchange 2021 через TMG

DNS WebMoney whois имён сервер
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат