Образовательный проект «SnakeProject» Михаила Козлова

Навигация

⇒ Microsoft ⇐

CISCO

Voice(Asterisk\Cisco)

Powershell

Python

SQL\T-SQL

FreeBSD and Nix

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

Exchange 2013: сертификат, подписанный доменным центром сертификации

Exchange 2013: создание сертификата, подписанного доменным центром сертификации CA

 

После установки Exchange 2013 сертификаты являются самоподписанными.

Это вызывает недоверие компьютеров домена в outlook

 

Установка подписанного доменным центром сертификации Active Directory AD CS делается так:

1. Создадим текстовый файл:
[NewRequest]
Subject = "CN=exchangeserver"
Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
FriendlyName = "Exchange 2013 Main Certificate"
[RequestAttributes]
CertificateTemplate = WebServer
SAN="dns=exchangeserver&dns=exchangeserver.contoso.local&dns=autodiscover.contoso.local&dns=owa.contoso.local"

Где:

Subject = "CN=exchangeserver" - имя почтового сервера Exchange

FriendlyName = "Exchange Certificate" - имя сертификата, будет показано в оснастке Exchange

SAN="dns=exchangeserver&dns=exchangeserver.contoso.local&dns=autodiscover.contoso.local&dns=owa.contoso.local" -  Список доменных\внешних\локальных имен.


Сохраним как ca.ini


2. Проверим поддержку SAN сертификатов для CA:


В командной строке на сервере CA выполним:
certutil -getreg policy\EditFlags

Если в выводе нет:
EDITF_ATTRIBUTESUBJECTALTNAME2

Включаем:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

Перезапустим сервис:

net stop certsvc

net start certsvc


3. В командной строке на сервере Excahge 2013:
certreq -new

Получим запрос файла конфигурации, выбираем ca.ini:

Предложат сохранить файл запроса сертификата. Сохраняем например под именем req.req

Далее даем команду certreq , выбираем файл req.req

Выйдет запрос выбора CA

Выбираем тот на котором включали поддержку SAN 

Предложат сохранить файл сертификата, сохраним как cert.cer

Далее выполним команду:
certreq -accept "C:\dir\cert.cer"

 

4. Сертификат с закрытым ключом создан, добавлен в личное хранилище сервера, виден в оснастке

Назначаем из графической консоли Exchange этот сертификат для нужных служб:

1 Редактировать:

2 Вкладка "Службы" - ставим нужные галки

3 Старый сертификат нужно удалить

На этом все.

Комментарии пользователей

Эту новость ещё не комментировалиНаписать комментарий
Анонимам нельзя оставоять комментарии, зарегистрируйтесь!
Контакты Группа ВК Сборник материалов по Cisco, Asterisk, Windows Server, Python и Django, SQL и T-SQL, FreeBSD и LinuxКод обмена баннерами Видео к IT статьям на YoutubeВидео на другие темы Смотреть
Мои друзья: Советы, помощь, инструменты для сис.админа, статическая и динамическая маршрутизация, FreeBSD

© Snakeproject.ru создан в 2013 году.
При копировании материала с сайта - оставьте ссылку.
Весь материал на сайте носит ознакомительный характер,
за его использование другими людьми, автор ответственности не несет.

Рейтинг@Mail.ru
Рейтинг@Mail.ru Яндекс.Метрика





Поддержать автора и проект