Comenzile Exchange pentru gestionarea certificatelor
Schema Exchange Management oferă un set de comenzi pe care le puteți utiliza pentru a gestiona certificate în mediul Exchange:
În cea de-a doua parte a acestei serii, am descris o organizație exemplară Exchange pentru care trebuie să obținem două certificate de schimb, așa cum am discutat în Tabelul 1 de mai jos.
Tabelul 1: Cerințe privind certificatul
Denumire comună
Subiecte alternative
Obligatoriu pentru servicii (necesar pentru servicii)
Outlook Web Access Outlook oriunde Autodiscover EWS (în afara biroului, gratuit și ocupat)
EdgeSync Securitate de domeniu oportunist TLS
Nou-ExchangeCertificate
În comanda Exchange Management Shell New-ExchangeCertificate poate fi folosit pentru a crea un nou certificat auto-semnat sau o nouă cerere de certificat, pe care le puteți trimite la autoritatea de certificare (autoritate de certificare) și apoi importate și activate pentru SMTP (Transport Layer Security (TLS)) și / sau IIS, POP, IMAP și UM (așa-numitele servicii Secure Sockets Layer (SSL)).
Parametrul cheie care determină comanda New-ExchangeCertificate de a crea un nou certificat auto-semnat sau de a genera o solicitare este GenerateRequest. Dacă omiteți acest parametru, un nou certificat auto-semnat Exchange va fi creat, așa cum se arată în figura 1. Dacă adăugați această opțiune, Exchange va crea o cerere de certificat pentru un certificat PKI (PKCS # 10), în magazin cererea locală.
Figura 1: Crearea unui nou certificat auto-semnat
Când creați o solicitare de certificat, puteți adăuga următoarea listă de parametri:
NameName - este introdus în formularul X.500 al denumirii distincte (nume distinctiv) care conține cea mai importantă proprietate a certificatului, numele comun. Numele subiectului este câmpul utilizat de serviciile DNS și, de fapt, va autentifica serviciile cu suport DNS că certificatul a fost validat pentru un anumit server sau nume de domeniu;
DomainName - folosit pentru a adăuga la certificat orice Nume Alternativ de Subiect suplimentar. Puteți adăuga mai multe nume de domenii separate printr-o virgulă, dar lungimea fiecărui nume de domeniu nu poate depăși 255 de caractere;
IncludeAcceptedDomains - adăugați toate domeniile acceptate sunt configurate în organizație Exchange, ca un subiect de nume de nume alternative (atunci când numele sunt definite utilizând parametrul DomainName și tasta IncludeAcceptedDomains, acestea vor apărea doar o dată în cererea de certificat)
IncludeAutoDiscover - va adăuga fiecare nume de domeniu sub denumirea alternativă nume nume autodiscover.domainname. Iată două note: - când numele sunt definite utilizând parametrul DomainName și utilizând cheia IncludeAutodiscover, acestea vor apărea doar o singură dată în cererea de certificate - puteți adăuga acest parametru numai când executați comanda pe serverul Exchange Client Access
Keysize - poate fi folosit pentru a specifica diferitele dimensiuni RSA ale cheii publice asociate certificatului la momentul creării sale. Dacă omiteți acest parametru, se va utiliza valoarea implicită de 2048 de biți, dar această valoare poate fi modificată la 1024, 2048 sau 4096 biți;
Cale - indică locația în care va fi stocată solicitarea de certificat. Trebuie să specificați calea și numele fișierului (tipul de fișier este .req);
PrivateKeyExportable - poate fi folosit pentru a genera un certificat (și / sau o cerere) cu cheia privată exportată. Dacă nu este utilizat, cheia privată nu va fi exportată. Adăugarea acestui parametru și setarea valorii la True vă va permite să exportați certificatul și să îl importați pe alte servere Exchange și / sau module ISA;
BinaryEncoded - poate fi utilizat pentru a schimba valoarea implicită prin intermediul Base64 a fișierului exportat criptat în fișierul criptat DER;
Servicii - pot fi folosite pentru a crea un nou certificat auto-semnat pentru a determina ce servicii (IIS, SMTP, POP, IMAP, UM) vor folosi noul certificat. Valoarea prestabilită pentru acest parametru este SMTP (după cum se vede în Figura 1), indicând valoarea Nici unul vă va permite să creați un nou certificat auto-semnat fără să îl includeți pentru niciun serviciu;
FriendlyName - poate fi folosit pentru a specifica un alt nume pentru certificatul dvs., nu cel utilizat în mod implicit - "Microsoft Exchange". acesta va fi limitat la 64 de caractere.
Figura 2: New-ExchangeCertificate
Aceste două cereri de certificate pot fi acum livrate autorității de certificare selectate și, după primirea certificatelor, pot fi importate și activate pentru serviciile solicitate.
Pentru a activa EdgeSync, consultați următorul articol TechNet
Când EdgeSync trebuie să ia în considerare informațiile din următorul articol TechNet „EdgeSync dă greș cu Event ID 10104“, care prevede în mod clar că serverele Hub și de transport Edge nu acceptă utilizarea aceluiași certificat!
Import-ExchangeCertificate
Comanda Import-ExchangeCertificate vă permite să importați un certificat, care poate fi util atunci când:
doriți să importați un certificat exportat anterior
doriți să importați fișierul de certificat generat de autoritatea de certificare
Există doi parametri pe care trebuie să vă aduceți aminte când executați comanda Import-ExchangeCertificate:
Parolă - pentru a introduce parola care a fost utilizată pentru criptarea cheii private în timpul exportării certificatului
Cale - pentru a specifica locația în care ați stocat certificatul primit de la CA
Când certificatul este importat, trebuie să-l activați pentru serviciu executând comanda Enable-ExchangeCertificate.
Activați-ExchangeCertificate
După ce executați comanda Enable-ExchangeCertificate, activați certificatul pentru unul sau mai multe servicii, actualizând metadatele stocate în certificat.
Fiecare serviciu are propriile cerințe pentru metadate, astfel încât acestea vor fi actualizate cu diferite proprietăți:
IIS. Site-ul Web implicit va fi actualizat;
SMTP. Cont de serviciu de rețea va fi dat permisiuni de acces (citire de acces) la fișierul cu cheia privată corespunzătoare în documentele directoare și setări # 92; toți utilizatorii # 92; Application Data # 92; Microsoft # 92; Crypto # 92; RSA # 92; MachineKeys;
UM. proprietățile certificatelor vor fi actualizate pentru a include Mesaje Unificate.
După primirea celor două certificate solicitate, Figura 3 arată că au fost importate, iar același termen indică faptul că acestea sunt incluse pentru serviciile solicitate.
Figura 3: Import-ExchangeCertificate
Get-ExchangeCertificate
Pentru a obține o listă a tuturor certificatelor disponibile în magazinul local de certificate, puteți rula comanda Get-ExchangeCertificate. Puteți utiliza această comandă pentru a examina câmpurile de certificat utilizate de astfel de servicii Exchange (Figura 4), cum ar fi:
Emitent. care a eliberat certificatul
Subiect. Denumirea comună a certificatului
CertificateDomains. Denumirea alternativă a denumirilor definite în certificat
NotBefore. determină data și ora la care certificatul poate fi utilizat
NotAfter. determină data și ora expirării certificatului
RootCAType. determină tipul de CA care a emis certificatul
Servicii. pentru care serviciile este activat certificatul
Stare. determină validitatea / invaliditatea certificatului
Amprentă. set de date de certificate
Figura 4: Get-ExchangeCertificate (SMTP)
Figura 5: Get-ExchangeCertificate (IIS, POP, IMAP)
Export-ExchangeCertificate
Pentru a exporta certificatul (fie pentru scopuri de rezervă, fie pentru alte servere), puteți utiliza comanda Export-ExchangeCertificate. Executarea comenzii exportă în mod implicit certificatul de schimb și cheia privată.
De asemenea, puteți utiliza această comandă pentru a exporta o solicitare de certificat. Când această comandă este executată, Exchange examinează certificatul exportat (utilizând amprenta sa) și dacă este o solicitare de certificat, acesta este exportat ca un fișier PKCS # 10. Dacă acesta este un certificat, certificatul va fi exportat ca fișier PKCS # 12.
Există doi parametri pe care îi puteți utiliza când executați comanda Export-ExchangeCertificate:
Cale. Pentru a determina directorul țintă și numele fișierului pentru stocarea certificatului exportat, nu uitați să introduceți extensia de fișier .req pentru a exporta cererea de certificat, și .pfx sau .p12 pentru exportul certificatului;
Parola. pentru a proteja cheia privată, trebuie să o introduceți ca un șir securizat (puteți utiliza diferite moduri de a specifica parola, așa cum se arată în figurile 6 și 7).
Figura 6: Export-ExchangeCertificate (SMTP)
Figura 7: Export-ExchangeCertificate (IIS, POP, IMAP)
Figura 8: Import-ExchangeCertificate (UM)
Eliminați-ExchangeCertificate
După ce am inclus certificatele necesare pentru toate serviciile, puteți să eliminați certificatele inutile de la serverul Exchange și magazinul local de certificate, executând comanda Remove-ExchangeCertificate. Dacă certificatul care urmează să fie șters este stocat în serviciul de directoare Active Directory, obiectul va fi, de asemenea, șters.
Figura 9 arată cum puteți să ștergeți toate certificatele semnate simultan.
Figura 9: Eliminați-ExchangeCertificate (auto-semnat)
Verificarea configurației certificatelor
După obținerea certificatelor necesare și configurarea serviciilor Exchange pentru utilizarea lor, este timpul să testați configurația pentru o funcționare corectă.
Figura 10 arată că Outlook Web Access și Outlook Anywhere funcționează bine utilizând certificatul cerut.
Figura 10: Proprietățile certificatului
Și funcția dorită Domain Security în organizația Sunshine.Edu este configurată, conform planificării, așa cum se vede în figurile 11 și 12.
Figura 11: Securitatea domeniului
Figura 12: Securitatea domeniului