Генерируем новый сертификат для exchange server 2021
В консоли управления Exchange Management Console перейдем в раздел Server Configuration. Щелкнем правой кнопкой по серверу и выберем пункт New Exchange Certificate.
Введем имя нового сертификата. В данном случае назовем сертификат “Contoso Exchange Server”.
Далее нам нужно указать имена всех служб Exchange 2021, которые будут защищены с помощью сертификатов SSL.
Первая служба — Outlook Web App. Укажем внешнее и внутренне имя для Outlook Web App. В данном примере настроим внутреннее имя — “ex2021.contoso.local” , внешнее — “mail.contoso.local”.
Затем настроим имя для ActiveSync. Для упрощения управления и настройки я буду использовать тоже имя, что и для Outlook Web App (mail.contoso.local).
Настроим службы: Web Services, Outlook Anywhere и Autodiscover. И опять я укажу имя “mail.contoso.local”. Для Autodiscover дополнительные имена “autodiscover.contoso.local” и “autodiscover.xyzimports.local” для всех почтовых доменов организации.
Сервер Hub Transport также для обеспечения безопасности SMTP коммуникации требует наличие SSL сертификата. Укажем имя “mail.contoso.local”.
Параметры Legacy Name (совместимость) необходимо настраивать, если вы планируете постепенный перенос служб и данных из Exchange 2003 в Exchange 2021. Имена legacy name нужно настроить для каждого обслуживаемого пространства имен в организации, например “legacy.contoso.local” и “legacy.xyzimports.local”.
После настройки всех служб, перейдем к следующему этапу мастера настройки нового сертификата Exchange.
Подтвердим, что все указанные доменные имена будут включены в запрос на генерацию нового сертификата. Если есть необходимость добавить дополнительные домены, сделайте это.
Далее мы должны заполнить справочную информацию сертификата, включая название организации, ее местоположение и место расположения файла-запроса сертификата.
Для генерации файла с запросом сертификата, нажмем кнопку New.
Работа мастера окончена.
Затем должно появиться окно, в котором указывается, что мастер в качестве типа сертификата Exchange выбрал “Unified Communications certificate” (также он называется сертификатом SAN).
После того, как мы создали запрос на новый сертификат, нужно вернуться в консоль Exchange Management Console, правой кнопкой щелкнем по серверу и выберем пункт Complete Pending Request.
Укажем путь к сертификату, убедитесь, что новый SSL сертификат импортировался успешно.
И в списке действительных сертификатов сервера появится еще один.
Назначаем новый сертификат серверу exchange 2021
После установки нового SSL сертификата, необходимо назначить его службам Exchange Server 2021. Для этого щелкните правой кнопкой мыши по новому сертификату и выберите “Assign Services to Certificate”.
Укажем наш новый сервер Exchange и нажмем Next.
Укажем службы, для которых необходимо назначить сертификат. В этом примере укажем сервисы IIS и SMTP.
После окончания мастера появится окно с предложением перезаписать текущий самоподписанный сертификат, согласимся с этим предложением, нажав Yes.
Планирование сертификата для exchange
Недавно наш специалист столкнулся с проблемой минимизации SAN полей в сертификате Exchange у клиента (сертификат платный, TMG нет – т.е. один и тот же сертификат для внутренних и внешних пользователей получается).
У них NLB кластер, так еще и имя AD домена и внешнего не совпадают(contoso.local и contoso.ru). В идеале было бы так:
1. mail.contoso.ru(external fqdn)
2. autodiscover.contoso.ru
3. cashub1.contoso.local(int fqdn для InternalNLBBypassUrl и SMTP, UM)
4. cashub2.contoso.local(int fqdn для InternalNLBBypassUrl и SMTP, UM)
5. cashubnlb.contoso.local (fqdn ClientAccessArray и для InternalUrls)
6. mail (Короткое имя, чтобы не набирать много букв)
7. cashub1(Короткое имя, чтобы не набирать много букв)
8. cashub2(Короткое имя, чтобы не набирать много букв)
Итого 8 имен — это очень дорого!
Поехали:
1. От коротких имен можно сразу отказаться, ибо не стоит расслабляться при наборе адреса! (Officially, the NetBIOS names of the server are not required. But many users and admins like to use OWA internally and this will prevent unnecessary warnings about the cert when they log on. There are no ill effects from adding internal names but they are not necessary. — blogs.technet.com/b/exchange/archive/2007/07/02/3403301.aspx ).
2. Делаем Split DNS и все InternalUrl а также AutodiscoverServerInternalUri прописываем в mail.contoso.ru вместо cashubnlb.contoso.local.
3. Для ClientAccessArray выставляем значение в cashubnlb.contoso.local. Идентичное значение как у HTTPS использовать не рекомендуется, поскольку Outlook извне будет тормозить. А в сертификате оно не требуется, поскольку используеться для MAPI коннекций, а SSL не используется. (Since a CAS Array is MAPI only and not utilizing SSL then the CAS Array FQDN should not be on the certificate. It is recommended the CAS Array FQDN is not the same as the OWA/EAS/OLA/EWS URLs which is where confusion can easily happen. Doing this (using the same FQDN) will result in significant Outlook Anywhere timeouts/delays for external users. — social.technet.microsoft.com/Forums/en-US/exchange2021/thread/8e25cee3-dea3-41c8-886f-9152992dd598 ).
4. Если мы создаем SRV autodiscover запись, то в сертификате вообще может не быть autodiscover записи. (Outlook 2007 will perform an additional check for a DNS SRV record in order to locate the Autodiscover service. This additional check does not require complex configuration or a valid certificate for the Autodiscover service.) При этом A записи быть не должно (Witout autodiscover.xxx.org in the certificate, you shouln’t have a A-Record for it in DNS. Remove it if you have it configured it.). Но это уже слишком…
5. Для SMTP и UM службы можно использовать самоподписанный или внутренний сертификат, так что от intFQDN можно отказаться.
6. Поскольку InternalNLBBypassUrl всё равно остается, то на него будет ругаться BPA, но на работу это никак не повлияет. — social.technet.microsoft.com/Forums/da-DK/exchangesvradmin/thread/54d2c3ae-3a12-4cbd-9ea1-70832e1b593a).
После нехитрых манипуляций получаем:
1. mail.contoso.ru(external fqdn)
2. autodiscover.contoso.ru
Всё!