Să ne întoarcem la oile noastre sau mai degrabă la certificate. În general, sarcina este redusă la patru etape:
- Formarea unei cereri de eliberare a unui certificat pentru CA intern;
- Obținerea directă a unui certificat;
- Importați-o în organizația Exchange;
- Activarea și atribuirea unui certificat serviciilor Exchange, precum POP, IMAP etc.
Cel mai corect va primi tipul de certificat Subiect Alte denumiri sau variante (SAN), care permite, printre altele, de a utiliza certificatul ca DNS, și numele NetBIOS server de e-mail. În primul rând, este convenabil pentru utilizatorii înșiși, așa cum am, de exemplu, utilizatorii din organizație se pot conecta la OWA ca FQDN, și în serverul NetBIOS-Name, FQDN interne și externe diferă.
Nu toate autoritățile de certificare permit utilizarea unor astfel de certificate, chiar dacă configurarea CA pentru acest lucru este foarte simplu - linia de comandă de server, care este emis de o CA, executa comanda:
certutil -setreg politică \ EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
iis reset / noforce
După aceasta, CA va putea să primească cereri și să emită certificate SAN.
Pe serverul din Shell Management Management, executați:
Nou-Exchangecertificate -DomainName mail.domain.corp, domain.corp, domain.com, autodiscover.domain.com, mailserver1.domain.corp, mailserver1 -Friendlyname «Company Mail» -generaterequest: $ true -keysize 1024 -path c: \ mailservercertrequest.req -privatekeyexportable: $ true -subjectname «c = RU, O = Company Corp, CN = mail.domain.com»
După cum puteți vedea, am inclus în cererea de toate numele posibile de servere de e-mail, care sunt utilizate, folosind cheia de 1024 biți, care a permis exportul și au un parametru -subjectname suplimentar. care este cheia cererii de certificat SAM. Valorile indică cele pe care ați utilizat la configurarea CA rue, în cazuri extreme, acestea pot fi vizualizate în certificatul rue.
Deschide interfata web a CA noastre, «Solicitare certificat» >> «cerere de certificat avansată» >> «Trimite o solicitare de cerere de certificat sau de reînnoire» În fereastra insera conținutul fișierului de interogare pe care l-ați creat în pasul anterior, selectați un șablon «WEB-Server» și faceți clic pe "Trimiteți". Salvați certificatul primit pe disc.
Importarea unui certificat pe un server Exchange
Este simplu - în cadran EMS:
Import-ExchangeCertificate-cale <путь к файлу сертификата>
Copiați imediat valoarea amprentei de parametru. emise de către server la comandă, acesta va fi util în următorul pas.
Activarea și atribuirea unui certificat
Activați-exchangecertificate -Servicii IMAP, POP, UM, IIS, SMTP A68435BEF8131350KLJH03BA6FF4372D05ACE71L4 -thumbprint
Serviciile vor fi stabilite de către cei care vor fi deservite de acest certificat, după cum puteți (și ar trebui!) Pentru a crea mai multe certificate cu diferiți parametri, cum ar fi timpul de revocare a numelor de domenii, etc. Parametrul amprentei specifică cel care a fost înregistrat în pasul anterior.