Повернемося до наших баранів, вірніше до сертифікатів. В цілому, завдання зводиться до чотирьох етапах:
- Формування запиту на видачу сертифіката для внутрішнього ЦС;
- Безпосередньо отримання сертіфікта;
- Імпорт його в організацію Exchange;
- Включення і призначення сертифіката службам Exchange, таким як POP, IMAP і т.д.
Найбільш правильним буде отримання сертифіката типу Subject Alternative Names (SAN), який дозволяє, серед іншого, використовувати в сертифікаті як DNS, так і NetBIOS імена поштового сервера. В першу чергу це зручно для самих користувачів, так як у мене, наприклад, користувачі всередині організації можуть зайти на OWA як по FQDN, так і по NetBIOS-Name сервера, причому FQDN внутрішній і зовнішній відрізняються.
Не всі центри сертифікації дозволяють використовувати такі сертифікати, хоча настройка ЦС для цього дуже проста - в командному рядку сервера, що є видає центром сертифікації, виконайте команди:
certutil -setreg policy \ EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
iis reset / noforce
Після цього ЦС зможе приймати запити і видавати сертифікати SAN.
На сервері в Exchange Management Shell виконайте:
New-Exchangecertificate -domainname mail.domain.corp, domain.corp, domain.com, autodiscover.domain.com, mailserver1.domain.corp, mailserver1 -Friendlyname «Company Mail» -generaterequest: $ true -keysize 1024 -path c: \ mailservercertrequest.req -privatekeyexportable: $ true -subjectname «c = RU, O = Company Corp, CN = mail.domain.com»
Як видно, я включив в запит всі мислимі імена майже сервера, який використовуються, використовував ключ 1024 біта, дозволив його експорт і вказав додатковий параметр -subjectname. який і є ключовим в запиту SAM сертифіката. Значення вказуються ті, які ви використовували при налаштуванні рутовий ЦС, в крайньому випадку їх можна подивитися в самому рутовий сертифікаті.
Відкриваємо WEB-інтерфейс нашого ЦС, «Request a certificate» >> «Advanced certificate request» >> «Submit a certificate request or renewal request» У вікно вставляєте вміст вашого файлу запиту, створеного на попередньому кроці, вибираєте шаблон «WEB-Server» і натискаєте «Submit». Зберігаєте отриманий сертифікат на диску.
Імпорт сертифіката на сервер Exchange
Все просто - в EMS набираєте:
Import-ExchangeCertificate -path <путь к файлу сертификата>
Відразу скопіюйте значення параметраthumbprint. виданого сервером на команду, це стане в нагоді на наступному кроці.
Включення і призначення сертифіката
Enable-exchangecertificate -services IMAP, POP, UM, IIS, SMTP -thumbprint A68435BEF8131350KLJH03BA6FF4372D05ACE71L4
Сервіси вказуєте ті, які будуть обслуговуватися даними сертифікатом, так як можна (і потрібно!) Створити кілька сертифікатів з різними параметрами, наприклад часом відгуку, доменними іменами і т.д. Параметр thumbprint вказуємо той, що записали на попередньому кроці.