Управление сертификатами Exchange

Управление сертификатами Exchange Сертификаты

Командлеты
сертификатов

В прежних версиях Exchange Server управление
сертификатами выполнялось с помощью IIS и диспечтера сертификатов в
консоли управления (MMC). В Exchange Server 2007 большинство
задач управления сертификатами выполняется с помощью следующих
командлетов ExchangeCertificate в командной консоли
Exchange:

Дополнительные сведения о создании запросов
сертификатов см. в разделе Создание сертификата или
запроса сертификата для TLS
.

В следующих разделах приведены краткие примеры того,
как можно использовать командлеты ExchangeCertificate для
выполнения распространенных задач с сертификатами. Дополнительные
сведения и примеры см. в справке командлета
Get-ExchangeCertificate в разделе Глобальные
командлеты
.

Создание
самозаверяющих сертификатов

Клонирование самозаверяющихся сертификатов

Создание
запросов сертификатов и установка доверенных сертификатов

Установка общедоступных сторонних сертификатов более
сложна. Требуется создать запрос сертификата, импортирвоать
выданный сертифика и все нужные сертификаты центра сертификации, а
затем включить сертификат для нужной цели.

В этом разделе описано, как включить использование
сертификатов для службы POP3. В этом примере клиенты подключаются к
службе POP3 с помощью полного доменного имени
popserver.fourthcoffee.com.

Запрос
сертификатов

Так как сертификат поставляется общедоступным сторонним
центром сертификации, ноебходимо сначала создать запрос
сертификата, выполнив следующую команду:

Если запрос сертификата создан правильно, в корне
системного диска будеи создан файл запроса сертификата (CER или
DER), а командная консоль Exchange выведет отпечаток для
запроса.

В предыдущей командк для параметра
PrivateKeyExportable задается значение $True,
что позволяет экспортировать сертификат вместе с закрытым ключом
для использования на нескольких серверах Exchange, к которым
требуется получать доступ с помощью одного полного доменного имени.
Например, может использоваться балансировка нагрузки серверов
клиентского доступа для поддержки подключений POP3.

Предыдущая команда также задает параметр
Subjectname в качестве имени X.500. Большинство сторонних
центров сертификации требуют указания допустимого имени X.500 для
имени субъекта сертификата. По меньшей мере, большинство центров
сертификации требуют, чтобы организации, указанной в поле
organizationName (o=), принадлежало имя домена, указанное в
поле commonName (cn=) веб-сервера.

После выполнения запроса файл запроса можно передать
поставщику сертификата для получения сертификата.

Импорт
сертификата
Включение
сертификата
Проверка
установки сертификатов

Определение
типа и количества сертификатов, выпущенных общедоступным центром
сертификации, для среды

Выбор подходящего сертификата, выпущенного
общедоступным центром сертификации, зависит от нескольких
факторов.

  • Поддержка клиентами подстановочных имен
    сертификатов
       Определите, какие клиенты будут
    поддерживаться. Как указано выше, в данном случае клиентами
    называются клиенты, которые получают доступ к Exchange из
    Интернета.
  • Пространство имен организации   Как
    настроено пространство имен IIS, доступное из Интернета?
  • Источник сертификата   Где будет получен
    сертификат? Поддерживает ли выбранный общедоступный центр
    сертификации подстановочные значки в полях субъекта или
    дополнительного имени субъекта? Если нет, поддерживаются ли
    дополнительные имена субъекта?

В представленных ниже подразделах эти факторы
рассматриваются более подробно.

Поддержка
клиентами подстановочных имен сертификатов

Подстановочные имена могут использоваться в расширениях
субъекта и дополнительного имени субъекта сертификатов X.509.
Дополнительные сведения о подстановочных именах см. в подразделе
«CertificateDomains» ниже в разделе Атрибуты сертификатов и их
использование Exchange Server 2007
.

После определения того, какие клиенты будет
поддерживать организация, полезно выяснить, поддерживают ли они
сертификаты с подстановочными именами для сервера, к которому они
подключаются.

Про сертификаты:  Захватывающий Эпир

Если клиент поддерживает подстановочные имена в
сертификатах, планирование системы сертификатов в организации
существенно упрощается. Если все клиенты поддерживают
подстановочные имена, а в организации используется одно доменное
имя, не требуется заниматься планированием пространства имена для
стратении развертывания сертификатов. Вместо этого можно создать
один сертификат, поддерживающий пространство имен с подстановочнм
знаком. Например, если клиенты с Outlook Web Access испрользуют для
доступа к почте mail.contoso.com/owa, а POP3-клиенты –
pop.contoso.com, для них можно использовать один
сертификат с подстановочным субъектом
*.contoso.com.

Следующие клиенты Майкрософт поддерживают
подстановочные имена в сертификатах:

Если клиент, используемый организацией, не поддерживает
подстановочные имена в сертификатах сервера, и применяется
нескролько пространств имен клиентов, можно использовать одно из
предложенных ниже решений.

  1. Приобретите сертификат, который содержит несколько имен, таких
    как mail.contoso.com, pop.contoso.com и
    mobile.contoso.com в расширении дополнительного имени
    субъекта.
  2. Приобретите сертификат для каждого объекта в пространстве имен,
    к которому будет подключаться клиент.
Планирование пространства имен организации

Для подключения всем клиентам требуется URL-адрес или
полное доменное имя. Каждый путь, к которому подключаются клиенты,
должен быть сопоставлен с действительным сертификатом, который
содержит имя узла, NetBIOS-имя, полное доменное имя узла или общее
имя узла, к которому выполняется подключение. Определение списка
имен, которые должен содержать сертификат, называется
планированием пространства имен.

В общем случае планирование пространства имен для
больших организаций, которые поддерживают различные клиенты и
охватывают несколько регионов с несколькими серверами, сложнее, чем
планирование пространства более мелких организаций.

Необходимо изучить принципы планирования пространства
имен сертификатов, чтобы определить, какие имена узлов требуктся
включать в расшиерение дополнительных имен субъектоа используемого
сертификата для защиты входящих подключений к Exchange Server
2007.

Дополнительные сведения см. в разделе Сведения о планировании
пространств имен для Exchange Server 2007
.

Способы
получения сертификата

Как указано выше, для внешнего клиентского доступа
рекомендуется приобрести сертификат от общедоступного стороннего
центра сертификации.

При оценке центров сертификации обратите внимание на
перечисленные ниже критерии.

  • Разрешает ли центр сертификации использовать подстановочные
    имена в сертификате? Если колиенты поддерживают подстановочные
    имена в сертификате, приобретите сертификат в центре сертификации,
    поддерживающем подстановочные имена. Это позволит наиболее просто
    развернуть защищенные клиенты.
  • Поддерживает ли центр сертификации разширение дополнительных
    имен субъекта? Рекомендуется использовать сертификат,
    поддерживающий несколько дополнительных имен субъекта, если
    выполняются следующие условия:
    • необходимо поддерживать клиенты, которые не поддерживают
      подстановочные имена в сертификате;
    • клиенты должны подключаться к нескольким путям к узлу.

    Корпорация Майкрософт в партнерстве с общедоступными центрами
    сертификации предоставляет сертификат объединенных коммуникаций.
    Актуальный список центров сертификации, которые поддерживают
    сертификат объединенных коммуникаций, см. в статье 929395 базы
    знаний Майкрософт Партнеры в области сертификатов объединенных
    коммуникаций для Exchange Server 2007 и Communications Server
    2007
    (на английском языке).

  • Предоставляет ли центр сертификации высокий уровень проверки
    истинности? Некоторые центры сертификации очень доступные по цене,
    ежегодная стоимость сертификата в других достигает нескольких сотен
    долларов. Так как от целостности сертификата зависит проверка
    подлинности входящего трафика в организации, при выборе
    общедоступного центра сертификации рекомендуется руководствоваться
    не только ценой. Тщательно оцените и сравните услуги, которые
    предлагаются каждым центром сертификации, и их репутацию.

К началу

Создание сертификата для exchange 2021 / issuing a certificate for exchange 2021

    В случаях когда Outlook регулярно мешает пользователям, выдавая им сообщение с вопросом

“Доверяете ли вы этому сертификату?”

, либо же Outlook Web Access выдаёт сообщение, что проблемы с сертификатом для этой страницы, то вам нужно разобраться с сертификатом в Exchange.

   Вам потребуется сервер с установленной ролью Certificate Authority. Не совмещайте её с сервером Exchange. У меня был печальный опыт, потому не рекомендую. Ставьте на отдельный. 

Certificate Authority Intallation

   Итак:
1) Создаём запрос на сертификат

2) Даём понятное имя:

 3) Wildcard пропускаем, так как нам нужно указать сервисы под которые он будет работать:

4) Прописываем доменные имена под каждый сервис:

 Последний я не указывал…

5) Выбираем основное имя:

6) Указываем данные по компании:

7) Создаём:

 Готово…

8) Открываем сохранённый файл .req в блокноте и видим:

—–BEGIN NEW CERTIFICATE REQUEST—–
MIIEbjCCA1YCAQAweDEUMBIGA1UEAwwLbWFpbC52MWEucnUxDzANBgNVBAsMBkFk
bWluczEgMB4GA1UECgwX0KbQtdC90L3Ri9C5INCh0L7QstC10YIxDzANBgNVBAcM
Bk1vc2NvdzEPMA0GA1UECAwGTW9zY293MQswCQYDVQQGEwJSVTCCASIwDQYJKoZI
hvcNAQEBBQADggEPADCCAQoCggEBALaQlSVGyt4 8rW/ffcqlMHxgcx4nndmnJHa
ljq35bKjUjFeg9kX3VfzySnX43jKQpDqN4EzzHmtwU2Ys3XLAB1SRLLjNSJ2w1f3
3HevROZMwyLMEz7r8c9GtaCoPZpThRtBG867AzDWBvOMOKi2AIDx19L3lu8fTQFt
h1 PE4xqi5ryCGrqs38QC5pO1uqCC2M1VW2QcEwHzM3z7rD1rp8CAwEAAaCCAa8w
GgYKKwYBBAGCNw0CAzEMFgo2LjEuNzYwMS4yMFUGCSsGAQQBgjcVFDFIMEYCAQUM
cgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEAbgBuAGUAbAAgAEMAcgB5AHAA
dABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkAZABlAHIDAQAwgcUGCSqGSIb3
DQEJDjGBtzCBtDAOBgNVHQ8BAf8EBAMCBaAwdQYDVR0RBG4wbIIPcG9zdDIuc292
UtOG/jRlmUWNhHs/inxhJxg4zVeLcA29/ydf c 0rNPzIAZxrcGXfkVMav6GPA6L
TpdaMOeqak9S1KWcGnI3xmKTx6ccNh5CHpFs/u2VY5iNeg==
—–END NEW CERTIFICATE REQUEST—–

9) Открываем страницу нашего, развёрнутого, СА – http://ca.company.local/certsrv

10) Завершаем запрос:

 Указываем путь к только что скачанному сертификату с СА:

11) Может появиться ошибка, что данный сертификат не пригоден для Exchange:

12) Открываем снова страницу СА и скачиваем корневой сертификат:

 13) Открываем оснастку

MMC 

 и добавляем Сертификаты. Далее импортируем последний скачанный сертификат в Доверенные Корневые:

14) Обновить консоль Exchange. Сертификат оживёт.

15) Чтобы клиенты Outlook и OWA не кричали на сертификат, его нужно раздать на клиенты при помощи политики (корневой сертификат и положит в Корневые Доверенные):

16) После применения политики, вы должны увидеть сертификат на рабочих станциях.

      Открываем Internet Explorer и смотрим что находится в Корневых Доверенных Центрах:

Установка ssl сертификата на все компьютеры домена с помощью групповых политик | windows для системных администраторов

Рассмотрим процедуру централизованной установки сертификата на компьютеры домена и добавление его в список доверенных корневых сертификатов с помощью групповых политик. После распространения сертификата все клиентские устройства будут доверять сервисам, которые подписаны данным сертификатом. В нашем случае, мы распространим самоподписанный SSL сертификат Exchange (роль Active Directory Certificate Services в доменен не развернута) на компьютеры пользователей в Active Directory.

Если вы используете самоподписанный SSL сертификат для своего сервера Exchange, то на клиентах, при первом запуске Outlook будет появляться сообщение, что сертификат не доверенный и пользоваться им небезопасно.

Outlook: ошибка использования недоверенного сертифката при использвании самоподписанного сертифката Exchange

Чтобы убрать это предупреждение, нужно на компьютере пользователя добавить сертификат Exchange в список доверенных сертификатов системы. Это можно сделать вручную (либо путем интеграции сертификата в корпоративный образ ОС), но гораздо более проще и эффективнее автоматически распространить сертификат с помощью возможностей групповых политик (GPO). При использовании такой схемы распространения сертификатов, все необходимые сертификат будет автоматически устанавливаться на все старые и новые компьютеры домена.

В первую очередь, нам нужно экспортировать самоподписанный сертификат с нашего Exchange сервера. Для этого на сервере откройте консоль mmc.exe и добавьте в нее оснастку Certificates (для локального компьютера).

MMC оснастка Certificates (Local Computer)

Перейдите в раздел Certificates (Local Computer) -> Trusted Root Certification Authorities -> Certificates.

В правом разделе найдите ваш сертификат Exchange и в контекстном меню выберите AllTasks ->Export.

Эспорт сертификата из локального хранилищаВ мастере экспорта выберите формат DER encoded binary X.509 (.CER) и укажите путь к файлу сертификата.

Файл сертифката Exchange.cer

Итак, вы экспортировали SSL сертификат Exchange в CER файл. Нужно поместить сертификат в сетевой каталог, куда у всех пользователей должен быть доступ на чтение (вы можете ограничить доступ к каталогу с помощью NTFS разрешений, или дополнительно скрыть его с помощью ABE). К примеру, пусть путь к файлу сертификата будет таким: \msk-fs01GroupPolicy$Certificates. Каталог с файлом сертифката

Перейдем к созданию политики распространения сертификата. Для этого, откройте консоль управления доменными политиками Group Policy Management (gpmc.msc). Чтобы создать новую политику, выберите OU на который она будет действовать (в нашем примере это OU с компьютерами, т.к. мы не хотим, чтобы сертификат устанавливался на сервера и технологические системы) и в контекстном меню выберите Create a GPO in this domain and Link it here

Укажите имя политики (Install-Exchange-Cert) и перейдите в режим ее редактирования.

Групповая политика установки сертифката

В редакторе GPO перейдите в раздел Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Public Key Policies –> Trusted Root Certification Authorities (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Политики открытого ключа –> Доверенные корневые центры сертификации).

В левой части окна редактора GPO щелкните ПКМ и выберите пункт меню Import.

Импорт сертфиката в групповых политикахУкажите путь к импортируемому файлу сертификата, который мы разместили в сетевом каталоге.

Мастер импорта сертификата

В соответствующем шаге мастера (Place all certificates in the following store) обязательно укажите, что сертификат нужно разместить в разделе TrustedRootCertificationAuthorities (Доверенные корневые центры сертификации).

Trusted Root Certification Authorities Политика распространения сертификатов создана. Возможно более точно нацелить ( таргетировать) политику на клиентов с помощью Security Filtering (см. ниже) или WMI фильтрации GPO.

Протестируйте политику, выполнив на клиенте обновление политик командой (gpupdate /force). Проверьте что ваш сертификат появился в списке доверенных сертификатов. Это можно сделать в оснастке управления сертификатами (раздел Trusted Root Certification Authorities -> Certificates) или в настройках Internet Explorer (Internet Options -> Content ->Certificates-> Trusted Root Certification Authorities или Свойства обозревателя -> Содержание -> Сертификаты -> Доверенные корневые центры сертификации).

Список доверенных сертификатов в IE

Вы можете проверить, что в браузере при открытии вашего HTTPS сайта (в нашем примере это Exchange OWA) больше не появляется предупреждение о недоверенном SSL сертификате. Теперь при настройке Outlook на ваш почтовый сервер Exchange (в Outlook 2021 ручная настройки почтового сервера возможна только через реестр) в программе перестанет появляться окно с предупреждением о недоверенном сертификате.

Если вы хотите, чтобы политика распространения сертификата применялась только к компьютерам (пользователям) в определенной группе безопасности, выберите в консоли Group Policy Management вашу политику Install-Exchange-Cert. На вкладке Scope в секции Security Filtering удалите группу Authenticated Users и добавьте вашу группу безопасности (например, AllowAutoDeployExchCert). Если прилинковать эту политику на корень домена, ваш сертификат будет автоматически распространен на все компьютеры, добавленные в группу безопасности.

группа, на которую автоматически через gpo добавляется в довененные ssl сертификат

Одной политикой вы можете распространить сразу несколько клиентских SSL сертификатов. Подробную информацию о сертификатах, которые распространяются вашей политикой можно посмотреть в консоли GPMC на вкладке Settings. Как вы видите, отображаются поля сертификата Issued To, Issued By, Expiration Date и Intended Purposes.

gpo информация об устанавливаемых сертификатах

Если на компьютерах нет доступа в интернет, таким образом вы можете распространить на все устройства домена доверенные корневые сертификаты. Но есть более простой и правильный способ обновления корневых и отозванных сертификатов в изолированных доменах.

Итак, вы настроили политику автоматического распространения сертификата на все компьютеры домена (на определенный организационной юнит или группу безопасности домена). Сертификат будет автоматически устанавливаться на все новые компьютеры, не требуя от служб техподдержки никаких ручных действий (в целях безопасности желательно периодически проверять списки доверенных сертификатов на клиентах на поддельные и отозванные).

Оцените статью
Мой сертификат
Добавить комментарий