1. Instalarea autorității de certificare în domeniu
Adăugați butonul Role de servicii necesare
Marcați primele 2 puncte (restul, dacă doriți)
Am stabilit perioada de valabilitate a certificatelor emise de această autoritate de certificare
2. Configurați autoritatea de certificare
În mod implicit, CA eliberează certificate care conțin doar un singur nume de subiect. Ie pentru fiecare nume de care aveți nevoie pentru a genera un certificat separat. Pentru a permite emiterea de certificate cu mai multe nume de subiecte alternative, trebuie să executați următoarea comandă pe server cu rolul CA:
și reporniți Serviciile de certificate:
Introduceți numele prietenos al certificatului (poate fi în limba chirilică), de exemplu, "Certificatul de domeniu de schimb", butonul Următor.
Pagina Domeniu de aplicare este omisă. Mai interesant:
Pe pagina Configurare Exchange, extindeți nodul de server Client Access (Outlook Web App)
și setați ambele casete de selectare:
- Aplicația Outlook Web App se află pe intranet
- Outlook Web App este pe Internet
Verificăm că câmpul corect din al doilea câmp este referit de înregistrarea MX pentru domeniul dvs. pe servere DNS externe.
Extindeți nodul server de acces client (Exchange ActiveSync). Se selectează căsuța de validare Active Sync Exchange Active
Extindeți serverul Client Access (Web Services, Outlook Anywhere și Autodiscover) și introduceți același nume pentru nodul extern. Autodiscoverul utilizat pe Internet trebuie verificat și este selectată opțiunea Adresă lungă (Exemplu: autodiscovet.contoso.com). În câmpul Autodiscovet URL de utilizat: lăsați doar autodiscover.<имянашегодомена>. Butonul următor.
În pagina Certificate Domenii, faceți clic pe Următorul
Completați pagina Organizație și locație (pot fi în limba chirilică)
Faceți clic pe butonul Răsfoiți. setați numele fișierului (de exemplu, CertRequest) și salvați-l. Finalizarea creării certificatului
4. Obținerea unui certificat de la autoritatea de certificare
Găsiți fișierul CertRequest.req nou salvat și îl deschideți în Notepad. Ctrl + A, Ctrl + C (salvați conținutul fișierului în clipboard) și închideți Notepad-ul.
În lista CertificateTemplate, selectați Web Server și faceți clic pe butonul Trimitere. apoi OK.
Faceți clic pe linkul Descărcați certificatul și salvați-l pe disc (de exemplu, sub numele certnew.cer). După încărcare, deschideți-l și verificați dacă în fila Detalii există elementul SubjectAlternativeName. care conține mai multe nume suplimentare.
5. Importați și atribuiți un certificat
În pagina CompletePendingRequest, faceți clic pe butonul Răsfoiți. găsim pe disc un certificat certnew.cer, descărcat de la autoritatea de certificare și îl importăm aici.
Din nou, faceți clic dreapta pe "Certificatul de domeniu de schimb" și selectați Atribuire servicii la certificat. Pe pagina de selectare a serverului, trebuie să specificați serverul din lista pentru care este atribuit certificatul. Pe pagina Selectați servicii, selectați caseta de validare IIS
Apoi, numiți, gata.
6. Diseminarea certificatului
În domeniu, certificatul se va propaga automat cu actualizarea politicilor de grup. Pentru testarea imediată, puteți executa comanda pe client
Selectați punctul inferior Descărcați un certificat CA, un lanț de certificat sau un CRL. Metoda de codare lasă DER. Faceți clic pe link-ul Descărcați certificatul CA. Și salvați fișierul cu extensia .p7b. Transferăm acest fișier clientului. Pe client, faceți clic dreapta pe fișierul certificat, selectați Install Certificate (Instalare certificat), mutați comutatorul pentru a plasa toate certificatele în magazinul următor. Prezentare generală, autorități de certificare a rădăcinilor de încredere, OK, Înainte, etc.
După aceste manipulări, atunci când vă conectați la OWA în browser, nu ar trebui să existe avertismente mai înspăimântătoare, cum ar fi:
Certificatul nu are nimic de-a face cu el. Ca nume de utilizator, trebuie să introduceți numele de domeniu, nu săpunul. În funcție de configurație, este posibil să fie necesar să specificați numele domeniului (sau aliasul său abreviat) înainte de autentificare. Aproximativ astfel: mydomain \ MyUser
După ce ați introdus datele de conectare și parola contului de domeniu, aruncă o eroare: "Acțiunea nu poate fi terminată. nu există nicio legătură cu schimbul de microsoft pentru a finaliza operația, este necesară o conexiune permanentă sau temporară a Outlook la server »
zi bună, a făcut o cerere de certificat, a primit-o de la CA, a importat-o. A apărut o eroare care nu a putut determina starea certificatului. verificarea verificării a eșuat. Am verificat pe serverul de schimb, lista de revocare specificată în url din certificat, fără probleme, este descărcată de la CA. Re-a emis lista de revocări, dar totuși eroarea a rămas. Care ar putea fi problema?
Trimiterea unui e-mail de test: Serverul nu suportă tipul de criptare a conexiunii specificat. Încercați să schimbați metoda de criptare. Pentru mai multe informații, contactați administratorul serverului de e-mail sau ISP.