Сертификация Microsoft для системного администратора: MCP, MCTS, MCSA, MCSE, MCITP (Windows, О работе, О разном)  26.11.2009

У меня есть небольшая практика, я стараюсь писать ответы на вопросы, которые мне задали больше 2 человек. Вопрос о сертификации системного администратора мне задавали значительно больше двух человек. Попробую ответить просто и понятно.

Прежде всего давайте конкретизируем тему: ниже я постараюсь описать путь сертификации для системного администратора Windows Server 2003/2008, схему по которой сертифицировался сам.

Если вы решили получить сертификат Microsoft подтверждающий ваши навык администрирования Windows Server 2003, вам лучше знать о причинах своего решения. Хочу только напомнить, что после выхода Windows Server 2003 вышла версия Windows Server 2003 R2, Windows Server 2008 и наконец Windows Server 2008 R2. Может стоит сразу получать знания и сертифицироваться по более новым технологиям? 😉

Какие существуют сертификаты Microsoft для технического специалиста? Давайте рассмотрим их все по порядку... (далее…)

Обновление сертификата Exchange Server 2007 (Windows, О работе)  20.05.2009

"У нас с мужиками есть традиция, раз в год мы"...обновляем сертификаты на всех вверенных нам сервисах. В их число входит и Microsoft Exchange Server 2007. В этой заметке я кратко опишу этот процесс.

Прежде всего необходимо определиться с типом сертификата:

тип №1. Self-signed SSL-certificate. Если вас устраивает самоподписанный (self-signed) SSL-сертификат, то вам достаточно запустить "Командную консоль Exchange" и скомандовать New-ExchangeCertificate без каких либо дополнительных параметров. При этом будет выпущен и активирован самоподписанный сертификат сроком на год. Сразу хочу вас предупредить, что при использовании самоподписанных сертификатов со службами Exchange ActiveSync, Outlook Web Access или приложением Outlook на мобильном устройстве вы оберечены получать ошибки при проверке сертификата, а иногда и вообще не иметь возможности получить доступ к серверу. Поэтому переходим к следующему пункту...

тип №2. Сертификат выданный сторонним доверенным центром сертификации (ЦС). Этот вариант является наиболее рекомендуемым, если вам необходимо иметь удаленный доступ к ресурсам почтового сервера сохраняя при этом увереность в защищенности вашего соединения. В этом случае за сравнительно небольшие деньги вы получите сертификат подписанный доверенным ЦС (например, VeriSign), который будет легко проходить проверку во всех распространенных браузерах и на большинстве мобильных устройств.

тип №3. Сертификат выданный корпоративным ЦС. Этот тип полностью повторяет предыдущий, но только в роли доверенного ЦС выступает сервер размещенный в вашей организации с установленной службой "Центр сертификации". Для многих организаций этот вариант является вполне приемлимым, т.к. при подключении клиентского компьютера к домену Windows этот центр сертификации все равно будет добавлен в список доверенных. К тому же стоимость такого решения равна нулю (при условии наличия у вас лицензии на операционную систему). Об этом варианте использования сегодня и пойдет речь.

Применяемые обозначения:
Домен: antonborisov.ru
Контроллер домена с функциями корпоративного ЦС: main.antonborisov.ru
Сервер Microsoft Exchange Server 2007: mail.antonborisov.ru
Операционная система установленная на серверах: Microsoft Windows Server 2003

Ситуация: на почтовом сервере истек срок действия сертификата, пользователи при подключении видят предупреждение.

Действия...

  1. Прежде всего мы должны сформировать запрос на получение сертификата. Заходим в "командную консоль Exchange" на сервере mail и командуем:
    New-ExchangeCertificate -GenerateRequest -SubjectName "DC=antonborisov, DC=ru, CN=mail" -IncludeAcceptedDomains -DomainName mail,mail.antonborisov.ru,mail2.antonborisov.ru -Path c:\mail.req
    Теперь с корне диска C лежит файл запроса сертификата, который необходимо скопировать на корпоративный ЦС.
  2. Когда файл скопирован (например, в корень диска С) на нашем ЦС необходимо выполнить команду: CERTREQ -attrib "CertificateTemplate:WebServer" c:\mail.req
  3. Выбрав в появившемся окне ЦС (или просто нажав ОК если в организации один ЦС) в консоли появится примерно такое сообщение:
    Код запроса (RequestId): 2
    Получен сертификат(Выдан) Выдан

    и предложение сохранить выданный сертификат. Сохраняем и возвращаемся в "командную консоль Exchange"...
  4. Теперь нам необходимо импортировать полученный сертификат в Exchange. Делаем это командой: Import-ExchangeCertificate -Path "C:\mail.cer" , если мы сохранили полученный сертифитак в корне диска с именем mail.cer , конечно. В ответ мы получим "Thumbprint" из 40-ка символов (например, 808567131D859AE5144E23450970A093105E757B), который нам потребуется в дальнейшем.
  5. Exchange уже знает о существовании нового сертификата, но использует все равно старый. Необходимо "включить" новый сертификат. Делается это следующими командами:
    Enable-ExchangeCertificate -Thumbprint 808567131D859AE5144E23450970A093105E757B -Service SMTP
    для начала использования нового сертификата SMTP-сервисом
    Enable-ExchangeCertificate -Thumbprint 808567131D859AE5144E23450970A093105E757B -Service IIS
    и для службы IIS, соответственно.
  6. Если все прошло успешно, то на команду Get-ExchangeCertificate будет примерно вот такой ответ:
    Thumbprint                               Services Subject
    ----------                               -------- -------
    808567131D859AE5144E23450970A093105E757B  IP.WS   CN=mail, DC=ru, DC=antonborisov

Готово! Можно забыть об этой проблеме еще на один год... :)

Postfix как frontend для Exchange 2007 (Linux, Windows, О работе)  02.06.2008

Некоторое время назад перевел корпоративную почту на Exchange 2007, но пускать Exchange напрямую в интернет у меня нет ни малейшего желания. Сугубо моё ИМХО, но Linux в плане безопасности намного надежнее (спорить по этому поводу не хочу). В связи с этим было принято решение оставить Linux (а соответственно и Postfix) в качестве шлюза и фаервола. Плюсы (помимо безопасности) в дополнительной фильтрации на спам (и вирусы) на уровне Postfix и отсутствием дополнительных затрат на ПО (если в качестве альтернативы рассматривать дополнительный пограничный сервер на Win2k3+ADAM и Exchange в роли Edge Transport). Опишу только необходимые изменения исходя из того, что Postfix и Exchange 2007 уже установлены и работают. (далее…)