Проект «SnakeProject» Михаила Козлова

⇒ Microsoft ⇐

CISCO

Voice(Asterisk\Cisco)

Powershell

Python

SQL\T-SQL

FreeBSD and Nix

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Exchange 2013: сертификат, подписанный доменным центром сертификации

Exchange 2013: создание сертификата, подписанного доменным центром сертификации CA

После установки Exchange 2013 сертификаты являются самоподписанными.

Это вызывает недоверие компьютеров домена в outlook

Установка подписанного доменным центром сертификации Active Directory AD CS делается так:

1. Создадим текстовый файл:
[NewRequest]
Subject = "CN=exchangeserver"
Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
FriendlyName = "Exchange 2013 Main Certificate"
[RequestAttributes]
CertificateTemplate = WebServer
SAN="dns=exchangeserver&dns=exchangeserver.contoso.local&dns=autodiscover.contoso.local&dns=owa.contoso.local"

Где:

Subject = "CN=exchangeserver" - имя почтового сервера Exchange

FriendlyName = "Exchange Certificate" - имя сертификата, будет показано в оснастке Exchange

SAN="dns=exchangeserver&dns=exchangeserver.contoso.local&dns=autodiscover.contoso.local&dns=owa.contoso.local" -  Список доменных\внешних\локальных имен.

Сохраним как ca.ini

2. Проверим поддержку SAN сертификатов для CA:

В командной строке на сервере CA выполним:
certutil -getreg policy\EditFlags

Если в выводе нет:
EDITF_ATTRIBUTESUBJECTALTNAME2

Включаем:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

Перезапустим сервис:

net stop certsvc

net start certsvc

3. В командной строке на сервере Excahge 2013:
certreq -new

Получим запрос файла конфигурации, выбираем ca.ini:

Предложат сохранить файл запроса сертификата. Сохраняем например под именем req.req

Далее даем команду certreq , выбираем файл req.req

Выйдет запрос выбора CA

Выбираем тот на котором включали поддержку SAN 

Предложат сохранить файл сертификата, сохраним как cert.cer

Далее выполним команду:
certreq -accept "C:\dir\cert.cer"

4. Сертификат с закрытым ключом создан, добавлен в личное хранилище сервера, виден в оснастке

Назначаем из графической консоли Exchange этот сертификат для нужных служб:

1 Редактировать:

2 Вкладка "Службы" - ставим нужные галки

3 Старый сертификат нужно удалить

На этом все.

Комментарии пользователей