Установка сертификата для OWA в Exchange 2010 | Сисадминские будни

Установка центра сертификации в домене

На сервере под управлением 2008 R2, например, на контроллере домена запускаем Server Manager (Диспетчер сервера) и добавляем роль (ссылкой Add Roles) «Active Directory Certificate Services»

Кнопка Next>

Кнопка Add Required Role Services

Отмечаем верхние 2 пункта (остальной по желанию)

Задаем срок действия сертификатов, выданных этим центром сертификации

Настройка центра сертификации

По умолчанию центр сертификации генерирует сертификаты, которые обслуживают только по одному имени субъекта. Т.е. для каждого имени нужно генерировать отдельный сертификат. Чтобы разрешить выпуск сертификатов с несколькими альтернативными именами субъектов, необходимо на сервере с ролью Центра сертификации выполнить команду:

certutil -setreg policyEditFlags  EDITF_ATTRIBUTESUBJECTALTNAME2

и перезапустить службы сертификации:

net stop certsvc & net start sertsvc

Запрос сертификата для сервера Exchange 2021

В консоли управления Exchange Server 2021: Server Configuration – правый клик на имени сервера (либо в правой нижней области) – New Exchange Certificate

Вводим понятное имя создаваемого сертификата (можно кириллицей), например, «Доменный сертификат Exchange», кнопка Next.

Страницу Domain Scope (Область домена) пропускаем. Дальше интересное:

На странице Exchange Configuration (Конфигурация сервера Exchange) разворачиваем узел Client Access server (Outlook Web App)

и устанавливаем оба флажка:— Outlook Web App is on the Intranet— Outlook Web App is on the InternetПроверяем, чтобы во втором поле было указано корректное имя, на которое ссылается MX запись для вашего домена на внешних DNS серверах.

Разворачиваем узел Client Access server (Exchange ActiveSync). Должен быть установлен флажок Exchange Active Sync is enabled

Получение сертификата из центра сертификации

Находим только что сохраненный файл CertRequest.req и открываем его в Блокноте. Ctrl A, Ctrl C (сохраняем содержимое файла в буфер обмена) и закрываем Блокнот.

Распространение сертификата

В домене сертификат распространится автоматически вместе с обновлением групповых политик. Для немедленного тестирования можно на клиенте выполнить команду

gpupdate /force

Активация уже имеющегося сертификата

Чаще всего, вам не нужно генерировать новый WildCard-сертификат, а приходится использовать уже имеющийся. В результате возникает задача как-то «подсунуть» его Exchange`y. Сделать это можно по крайней мере 2-я способами:

1. PowerShell командлетом, в котором нужно указать путь к контейнеру с сертификатом и ввести после запроса пароль:

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:certificatesExportedCert.pfx -Encoding byte -ReadCount 0)) -Password:(Get-Credential).password

2. Импортировать через оснастку MMC – Certificates – Local Computer (см. рис.2)

Рис.2: Импорт сертификата.

После того, как сертификат будет импортирован, он должен появиться в результатах выдачи командлета Get-ExchangeCertificate (см. рис.3).

Примечание: Если не появился, то первое что надо проверить – это есть ли закрытый ключ у сертификата.

Генерация сертификата через emc

Если мы воспользуемся мастером генерации нового сертификата, то он в самом начале предложит нам создать wildcard-сертификат (см. рис.1):

Рис.1: Создание wildcard-сертификата через EMC.

После установки этой галочки, без лишних вопросов про имена, включаемые в сертификат, будет предложено сгенерировать запрос, который потом нужно будет отправить в центр сертификации. Ответом на данный запрос, центр сертификации вам вышлет сертификат, который нужно будет активировать (см. пост Публикация Exchange 2021 – “сертификация”).

Переключение служб на новый сертификат

После того, как сертификат успешно импортирован, на него нужно переключить работу служб, таких как SMTP, IIS, POP3, IMAP, UM. Сделать это можно нажав правой кнопкой на сертификате в EMC – Assign Services to Certificate…, либо через PowerShell.

Продление сертификата exchange 2021 с использованием tmg 2021