Să ne întoarcem la oile noastre sau mai degrabă la certificate. În general, sarcina este redusă la patru etape:
- Formarea unei cereri de eliberare a unui certificat pentru CA intern;
- Obținerea directă a unui certificat;
- Importați-o în organizația Exchange;
- Activarea și atribuirea unui certificat serviciilor Exchange, precum POP, IMAP etc.
Cel mai corect va primi tipul de certificat Subiect Alte denumiri sau variante (SAN), care permite, printre altele, de a utiliza certificatul ca DNS, și numele NetBIOS server de e-mail. În primul rând, este convenabil pentru utilizatorii înșiși, așa cum am, de exemplu, utilizatorii din organizație se pot conecta la OWA ca FQDN, și în serverul NetBIOS-Name, FQDN interne și externe diferă.
Nu toate CA permit utilizarea acestor certificate, deși configurația CA pentru aceasta este foarte simplă - la linia de comandă a serverului care este autoritatea de certificare care emite, executați comenzile:
certutil -setreg politică \ EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
iis reset / noforce
După aceasta, CA va putea să primească cereri și să emită certificate SAN.
Pe serverul din Shell Management Management, executați:
Nou-Exchangecertificate -DomainName mail.domain.corp, domain.corp, domain.com, autodiscover.domain.com, mailserver1.domain.corp, mailserver1 -Friendlyname «Company Mail» -generaterequest: $ true -keysize 1024 -path c: \ mailservercertrequest.req -privatekeyexportable: $ true -subjectname «c = RU, O = Company Corp, CN = mail.domain.com»
După cum puteți vedea, am inclus toate numele imaginilor serverului de poștă electronică folosit în interogare, am folosit o cheie de 1024 biți, am permis exportul și am specificat un parametru suplimentar - numele subiectului. care este cheia cererii de certificat SAM. Valoarea este indicată de cele pe care le-ați utilizat la configurarea CA sau, în cazurile extreme, le puteți vedea în certificatul rădăcină.
Deschide interfata web a CA noastre, «Solicitare certificat» >> «cerere de certificat avansată» >> «Trimite o solicitare de cerere de certificat sau de reînnoire» În fereastra insera conținutul fișierului de interogare pe care l-ați creat în pasul anterior, selectați un șablon «WEB-Server» și apăsați «Trimite». Stochează certificatul primit pe disc.
Importarea unui certificat pe un server Exchange
Este simplu - în cadran EMS:
Import-ExchangeCertificate-cale <путь к файлу сертификата>
Copiați imediat valoarea amprentei de parametru. emise de către server la comandă, acesta va fi util în următorul pas.
Activarea și atribuirea unui certificat
Activați-exchangecertificate -Servicii IMAP, POP, UM, IIS, SMTP A68435BEF8131350KLJH03BA6FF4372D05ACE71L4 -thumbprint
Serviciile specifică cele care vor fi difuzate de acest certificat, așa cum este posibil (și necesar!). Pentru a crea mai multe certificate cu parametri diferiți, de exemplu, timpul de rechemare, numele de domeniu etc. Parametrul amprentei specifică cel care a fost înregistrat în pasul anterior.