Exchange Server 2010 Managing Certificates

by Arman Obosyan 3. August 2009 16:19

e14-cert…как нам всем известно работа c сертификатами в Exchange Server 2007 осуществлялось в PowerShell (EMS) набором  cmdlet–ов: New-ExchangeCertificate, Import-ExchangeCertificate, Enable-ExchangeCertificate.

В Exchange Server 2010 добавился удобный и простой мастер по работе с сертификатами, генерация, импорт, экспорт, назначение теперь и в GUI, средствами Exchange Management Console.

Посмотрим как это выглядит

E14-EMC-CRT00

 

Запускаем мастер New Exchange Certificate,

Продолжение тут   в поле Friendly Name… указываем любое значение по которому мы в дальнейшем узнаем наш сертификат

 

E14-EMC-CRT01

Если вы собираетесь использовать Wildcard Certificate то тут можно просто вести *.имядомена и перепрыгнуть через пару настроек, тем самым все записи autodiscover, smtp и подобные отдельно прописывать не нужно

E14-EMC-CRT02

может вас сразу удивит обилие настроек но все сводится к тому чтоб Administrator запрашивая сертификат описал все имена по которым будет осуществляться доступ к серверу, по сути тут ошибиться и не вписать что либо невозможно.

E14-EMC-CRT03

Рассмотрим по ближе, Federated Sharing требующий сертификата от SSL certificate providers таких как DigiCert,VeriSign и так далее…
Outlook Web Access Intranet/Internet тут даже новичок не промахнется.

E14-EMC-CRT04

Параметры EWS, Outlook Anywhere и Autodiscover, если вы используете имя для rpc over https отличное от mail.имядомена к примеру rpc.имядомена то тут самое оно вписать то что вам нужно (хотя зачем мудрить если через ISA Server все прекрасно можно запублишить). …а вот autodiscover отдельная тема, Long и Short, как не трудно догадаться при выборе Long URL в сертификат добавится autodiscover.имядомена.

E14-EMC-CRT05

Если вашей организации используется POP/IMAP тут можно указать pop.имядомена и imap.имядомена, для Unified Messaging также нужен сертификат от SSL certificate providers

E14-EMC-CRT06

Куда нам без TLS !

E14-EMC-CRT07

Тут пожалуй все, идем дальше

E14-EMC-CRT08

Если на стадии Domain Scope вы выбрали WildCard то вы попали бы сразу сюда, тут все как обычно

E14-EMC-CRT09

E14-EMC-CRT10

E14-EMC-CRT11

Сгенерированный запрос на подпись сертификата теперь нужно нам засубмитить в Certificate Authority полученный сертификат импортировать

Получив сертификат переходим к Complete Pending Request

E14-EMC-CRT12

Указываем файл сертификата

E14-EMC-CRT13

E14-EMC-CRT14

Осталось только назначить сертификат нужным сервисам, запускаем мастер Assign Services to Certificate

E14-EMC-CRT15

Указываем сервера, сервисам которых нужно назначить сертификат

E14-EMC-CRT16

E14-EMC-CRT17

Complete!

E14-EMC-CRT18

 

 

Также при необходимости переноса сертификата на другой сервер (к примеру на ISA Server для дальнейшего применения в публишинге) из мастера Export Exchange Certificate можно экспортировать сертификат.

E14-EMC-CRT19

 

 

Вот пожалуй и все, тоже самое можно конечно проделать и EMS но тут ошибиться и пропустить при генерации одну из записей невозможно, удобные мастера работы сертификатами думаю оценят администраторы Exchange Server.

Comments (4) -

artem
artem Russia
8/3/2009 8:13:48 PM #

> Сгенерированный сертификат теперь нужно нам засубмитить в Certificate Authority полученный сертификат импортировать

Наверное, тут всё-таки имеется в виду ещё пока не готовый сертификат, а только запрос на его создание?

Кстати, очень хорошо, что процесс запроса и импорта разнесён. Т.е. я могу пройтись мастером, чтобы не ошибиться в создании запроса, затем отправить этот запрос в CA и получить сертификат. А уже этот сертификат потом использовать не на серверах Exchange, а при публикации на TMG.

В этом случае на серверах Exchange мне понадобится совсем другой сертификат, который будет использовать внутреннее имя сервера и будет выдан моим внутренним CA.

И вот, кстати, для последнего сценария было бы удобнее, чтобы мастер умел сам отправлять запрос к местному CA на создание сертификата от имени текущего пользователя. Т.е. чтобы весь процесс занимал не три шага, а один.

Arman Obosyan
Arman Obosyan Georgia
8/3/2009 9:44:25 PM #


>не готовый сертификат, а только запрос на его создание?
абсолютно верно, профиксил, речь о запросе на подпись сертификата (CSR)

мастера действительно очень удобные,
По поводу другого сертификата, наверно лучше сразу указывать netbiosname при генерации запроса на сертификат, чем иметь несколько, другое если его отправлять в SSL certificate providers там уже превысив количество придется доплачивать за каждый..., и тут конечно внутренние имена дешевле иметь в отдельном сертификате.

Вот я думал по поводу того что почему нет подобного как в IIS7 запрос Create Domain Certificate и Create Certificate, может еще и изменится до выхода RTM может посчитают что... остается только гадать.

artem
artem Russia
8/4/2009 1:18:40 AM #

> По поводу другого сертификата, наверно лучше сразу указывать netbiosname при генерации запроса на сертификат, чем иметь несколько

не соглашусь. Мне кажется, что netbios («короткие») имена вообще не нужны. Более того, можно, конечно, на внутренний сервер Exchange прицепить внешний сертификат и прописать этот внешний адрес во внутреннем DNS, но это тоже не нужно. Правильно будет как раз выдать отдельные сертификат с внутреннего CA для внутреннего адреса сервера Exchange в формате FQDN.

Arman Obosyan
Arman Obosyan Georgia
8/4/2009 9:01:03 AM #


Технически NetBIOS имена не обязательны в сертификате, но все зависит от конкретной постановки задачи.
…и у каждого повара свой рецепт приготовления индейки Smile
На предыдущей работе, в одном из доменах fqdn выглядел вот таким вот образом mail.corp.galtandtaggart.com.ua, тут пользователям в корп. сетке проще набирать mail нежели fqdn (в данном случае NetBIOS избавляет от дополнительных манипуляция с доменными суффиксами…)

Pingbacks and trackbacks (1)+

Comments are closed

© 2008-2012, Arman Obosyan, Postmaster.GE
Powered by BlogEngine.NET 2.6.0.18
Hosted on Windows Azure and IIS8

About the author

Arman Obosyan is an experienced IT Pro. with over 17+ years work experience in Information Technologies sector.

Certified since 2003 year, passed following certifications MCP, MCSA, MCSE, MCTS, MCITP, Exin ITIL and VMware Certified Professional (VCP)

In 2010 Was awarded a Microsoft Most Valuable Professional (MVP)

--------

Disclaimer
The opinions expressed herein are my own personal opinions and do not represent anyone else's view in any way, including those of my employer.



Live Trafic

 

Calendar

<<  October 2017  >>
MoTuWeThFrSaSu
2526272829301
2345678
9101112131415
16171819202122
23242526272829
303112345

View posts in large calendar

TextBox