понедельник, 29 октября 2012 г.

Обновление сертификата Exchange Server 2007 + ISA Server


Случилась у меня беда на работе, придя как обычно в офис, выпив кофе, получил жалобу пользователей на то, что почтовый клиент, а именно Outlook, выдает ошибку 8, и говорит, что нет возможности подключиться к Exchange Server, т.к. отсутствует сертификат.

И тут я, конечно, вспомнил эту очень важную вещь, что сертификаты по умолчанию для Exchange выдаются сроком на 1 год. Ну, по крайней мере, так же написано и на TechNet.
Собственно, пришлось быстро соображать, как исправить эту проблему, статью я нашел на TechNet довольно быстро, а также огромное спасибо за помощь бывшему сисадмину (долго бы сам курил сайты и мануалы).
Выписывал я 2 сертификата, один который содержал в альтернативных DNS именах только внешние имена, и один который содержал и внешние и внутренние DNS имена, один был для ISA сервера, второй распространял у пользователей политиками. Не знаю или правильно это, но такая схема работает исправно.
Для создания сертификата первым делом необходимо сделать запрос на его создание, для этого я зашел на свой почтовый сервер, запустил PowerShell и используя команду создал req файлик:
New-ExchangeCertificate
Все необходимые понятия и описание ключей для создания запроса, можно найти на TechNet
http://technet.microsoft.com/ru-ru/library/aa998327(EXCHG.80).aspx
Далее открыв браузер ввел в адресную строку
http://<имя _сервера_сертификации>/CertSrv
Выбираем:
Request a certificate -> Advanced certificate request -> Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.
Вставляем из нашего, уже созданного req файла все в поле Saved Request, в полеCertificat Template выбираем Web Server и жмем “Submit
Далее просто скачиваем и сохраняем наш сертификат который имеет расширение cer.
Этот сертификат не содержит закрытого ключа, Exchange сам генерирует закрытый ключ и оставляет его в контейнере с запрошенным сертификатом, и только после того как мы выполним импорт, мы сможем получить pfx файл.
Для импорта сертификата необходимо снова открыть PowerShell на Вашем почтовом сервере и выполнить команду
Import-ExchangeCertificate
Все необходимые понятия и ключи для выполнения импорта, можно найти на TechNet
http://technet.microsoft.com/ru-ru/library/bb124424(EXCHG.80).aspx
При выполнении команды Import-ExchangeCertificate мы получим отпечаток, который будет выглядеть примерно так:
2FV1AB2D04C03480387R34575F939120GT855E4F
Этот отпечаток можно сохранить в буфер обмена, т.к. он еще пригодится.
После получения отпечатка необходимо включить данный сертификат, расположенный в локальном хранилище сертификатов, для различных служб, таких как IIS, SMTP, POP, UM, IMAP.
Для выполнения этой задачи необходимо использовать команду PowerShell:
Enable-ExchangeCertificate
Опять же всю необходимую информацию по данной команде можно найти на TechNet
http://technet.microsoft.com/ru-ru/library/aa997231(EXCHG.80).aspx
Теперь остается только экспортировать сертификат и отправить его на ISA Server. И снова делать это лучше в консоли PowerShell.
И для этого понадобиться нам команда
Export-ExchangeCertificate
http://technet.microsoft.com/ru-ru/library/aa996305(EXCHG.80).aspx
Если вдруг экспортировать сертификат пожелаете средствами MMC, не забываем снимать галочку “Включить усиленную защиту ключа”.
Далее необходимо просто добавить сертификат нашем ISA серверу. Для этого идем на наш сервер. И там же импортируем полученный сертификат.
Потом открываем консоль нашего ISA сервера выбираем правило которое выпускает нашу почту в интернет, выбираем Properties.
Далее идем в Listener, там снова жмем Properties.
Ищем в окне вкладку Certificates, жмем ее видим пункт Select Certificate жмем, получаем окно с сертификатами.
Выбираем валидный сертификат (который создали), и жмем “Ok”, и применяем изменения на нашем ISA сервере. Можно еще в консоли iisreset /noforce сделать.
На этом все. Можно смело проверять доступ к Вашей почте.
Я еще создавал 2-ой сертификат для внутренней сети, который содержит в альтернативных DNS именах еще внутренние имена, создание этого сертификата происходило по той же схеме, и сертификат распространял политиками Active Directory.

Комментариев нет:

Отправить комментарий