Обновление сертификата Exchange Server 2007

"У нас с мужиками есть традиция, раз в год мы"...обновляем сертификаты на всех вверенных нам сервисах. В их число входит и Microsoft Exchange Server 2007. В этой заметке я кратко опишу этот процесс.

Прежде всего необходимо определиться с типом сертификата:

тип №1. Self-signed SSL-certificate. Если вас устраивает самоподписанный (self-signed) SSL-сертификат, то вам достаточно запустить "Командную консоль Exchange" и скомандовать New-ExchangeCertificate без каких либо дополнительных параметров. При этом будет выпущен и активирован самоподписанный сертификат сроком на год. Сразу хочу вас предупредить, что при использовании самоподписанных сертификатов со службами Exchange ActiveSync, Outlook Web Access или приложением Outlook на мобильном устройстве вы оберечены получать ошибки при проверке сертификата, а иногда и вообще не иметь возможности получить доступ к серверу. Поэтому переходим к следующему пункту...

тип №2. Сертификат выданный сторонним доверенным центром сертификации (ЦС). Этот вариант является наиболее рекомендуемым, если вам необходимо иметь удаленный доступ к ресурсам почтового сервера сохраняя при этом увереность в защищенности вашего соединения. В этом случае за сравнительно небольшие деньги вы получите сертификат подписанный доверенным ЦС (например, VeriSign), который будет легко проходить проверку во всех распространенных браузерах и на большинстве мобильных устройств.

тип №3. Сертификат выданный корпоративным ЦС. Этот тип полностью повторяет предыдущий, но только в роли доверенного ЦС выступает сервер размещенный в вашей организации с установленной службой "Центр сертификации". Для многих организаций этот вариант является вполне приемлимым, т.к. при подключении клиентского компьютера к домену Windows этот центр сертификации все равно будет добавлен в список доверенных. К тому же стоимость такого решения равна нулю (при условии наличия у вас лицензии на операционную систему). Об этом варианте использования сегодня и пойдет речь.

Применяемые обозначения:
Домен: antonborisov.ru
Контроллер домена с функциями корпоративного ЦС: main.antonborisov.ru
Сервер Microsoft Exchange Server 2007: mail.antonborisov.ru
Операционная система установленная на серверах: Microsoft Windows Server 2003

Ситуация: на почтовом сервере истек срок действия сертификата, пользователи при подключении видят предупреждение.

Действия...

  1. Прежде всего мы должны сформировать запрос на получение сертификата. Заходим в "командную консоль Exchange" на сервере mail и командуем:
    New-ExchangeCertificate -GenerateRequest -SubjectName "DC=antonborisov, DC=ru, CN=mail" -IncludeAcceptedDomains -DomainName mail,mail.antonborisov.ru,mail2.antonborisov.ru -Path c:\mail.req
    Теперь с корне диска C лежит файл запроса сертификата, который необходимо скопировать на корпоративный ЦС.
  2. Когда файл скопирован (например, в корень диска С) на нашем ЦС необходимо выполнить команду: CERTREQ -attrib "CertificateTemplate:WebServer" c:\mail.req
  3. Выбрав в появившемся окне ЦС (или просто нажав ОК если в организации один ЦС) в консоли появится примерно такое сообщение:
    Код запроса (RequestId): 2
    Получен сертификат(Выдан) Выдан

    и предложение сохранить выданный сертификат. Сохраняем и возвращаемся в "командную консоль Exchange"...
  4. Теперь нам необходимо импортировать полученный сертификат в Exchange. Делаем это командой: Import-ExchangeCertificate -Path "C:\mail.cer" , если мы сохранили полученный сертифитак в корне диска с именем mail.cer , конечно. В ответ мы получим "Thumbprint" из 40-ка символов (например, 808567131D859AE5144E23450970A093105E757B), который нам потребуется в дальнейшем.
  5. Exchange уже знает о существовании нового сертификата, но использует все равно старый. Необходимо "включить" новый сертификат. Делается это следующими командами:
    Enable-ExchangeCertificate -Thumbprint 808567131D859AE5144E23450970A093105E757B -Service SMTP
    для начала использования нового сертификата SMTP-сервисом
    Enable-ExchangeCertificate -Thumbprint 808567131D859AE5144E23450970A093105E757B -Service IIS
    и для службы IIS, соответственно.
  6. Если все прошло успешно, то на команду Get-ExchangeCertificate будет примерно вот такой ответ:
    Thumbprint                               Services Subject
    ----------                               -------- -------
    808567131D859AE5144E23450970A093105E757B  IP.WS   CN=mail, DC=ru, DC=antonborisov

Готово! Можно забыть об этой проблеме еще на один год... :)

На сообщение “Обновление сертификата Exchange Server 2007” комментариев: 6

  1. Derevokas:

    Очень полезная вещь, спасибо!!

  2. Антон:

    Пожалуйста, рад что заметка пригодилась кому-то кроме меня. :)

  3. ZorG:

    Ой, спасибо! Оч полезная инфа. Но! Застопорился на пункте 4 :( Tumbprint никакой не вернулся, к сожалению. Чего делать?!

  4. ZorG:

    А, все! Вопрос снят :) Нужно просто еще раз сделать импорт, и система вернет отпечаток :)

    Import-ExchangeCertificate : Не удается выполнить импорт, поскольку уже имеется сертификат с отпечатком 0B754B8915F158E15C6A14DC3417A6223684E601.

  5. Олег:

    Все это хорошо, но есть одно проблема: полученный таким образом сертификат не удается экспортировать вместе с секретным ключом (требуется для публикации через ИСА)

  6. VIT:

    Статейка пригодилась при смене истекшего сертификата. Вот только в поле SubjectName значение CN вместо CN=mail, должно быть CN=mail.antonborisov.ru
    Иначе клиенты будут ругаться на не соответствие имени (FQDN) владельца ключа.

Оставить комментарий

 

Subscribe without commenting