Сервера Exchange активно используют в своей работе цифровые сертификаты. Сертификаты используются для различных служб в Exchange: службы IIS, POP/IMAP, SMTP.
При установке Exchange 2010 автоматически настраивается самозаверяющий сертификат. Самозаверяющий сертификат позволяет некоторым клиентским протоколам использовать при передаче данных протокол SSL.
Созданный при установке самозаверяющий сертификат содержит лишь имя сервера, на котором выполняется установка Exchange, поэтому для удобства использования различными службами и установки сертификата на другие сервера Exchange, необходимо сгенерировать другой сертификат.
Для удобства использования и упрощения администрирования необходимо сгенерировать один сертификат включающий множество имен серверов, который будет использован для всех служб развернутых серверов Exchange.
Запрос должен быть следующий:
New-ExchangeCertificate -privatekeyExportable:$true -SubjectName "CN=mail.BLA-BLA.ua, O=BLA-BLA, C=UA" -DomainName mail.bla-bla.ua, exh3-kv-0.bla-bla.ua.loc, exh3-kv-0, bla-bla.ua, bla-bla.ua.loc, bla.bla-bla.ua.loc, autodiscover.bla-bla.ua-GenerateRequest:$True -Keysize 2048 -FriendlyName "BLA-BLA Exchange 2010"
Сертификат необходимо установить на CAS сервера Exchange 2010.
Для установки сертификата, который выдан центром сертификации, необходимо выполнить следующие шаги наEXH20-KV-0 и EXH21-KV-0:
1. Скопировать сертификат на сервер Exchange 2010.
2. Используя Exchange Management Shell выполнить следующую команду:
Import-ExchangeCertificate -Path c:\certificates\import.pfx -Password:(Get-Credential).password
3.Задействовать импортированный сертификат для служб Exchange Server:
Enable-ExchangeCertificate –Thumbprint “94JJ9478HRY6R6RRH63211NJ1NN74BYY8F4H67B7” –Services IIS,SMTP,POP,IMAP
Параметры сертификата импортированного на сервера EXH20-KV-0 EXH21-KV-0
Параметр
|
Значение
|
CertificateDomains
|
mail.bla-bla.ua, exh3-kv-0.bla-bla.ua.loc, exh3-kv-0, exh1-kv-0.bla-bla.ua.loc, exh1-kv-0, bla-bla.ua, bla-bla.ua.loc, bla-bla.bla-bla.ua.loc, mail-bla.bla-bla.ua, autodiscover.bla-bla.ua
|
HasPrivateKey
|
True
|
IsSelfSigned
|
False
|
Issuer
|
CN=bla-bla-DC11-KV-0-CA, DC=bla-bla, DC=ua, DC=loc
|
NotAfter
|
15.05.2013 13:18:46
|
NotBefore
|
16.05.2011 13:18:46
|
PublicKeySize
|
2048
|
RootCAType
|
Enterprise
|
SerialNumber
|
1234560D000000001234
|
Services
|
IMAP, POP, IIS, SMTP
|
Status
|
Valid
|
Subject
|
CN=mail.bla-bla.ua, O=BLA-BLA, C=UA
|
Thumbprint
|
94JJ9478HRY6R6RRH63211NJ1NN74BYY8F4H67B7
|
14.05.2013 необходимо повторно провести работы по задействованию нового сертификата для CAS и HT, поскольку 15.05.2013 истекает время действительности сертификата с отпечатком «94JJ9478HRY6R6RRH63211NJ1NN74BYY8F4H67B7». 
Комментариев нет:
Отправить комментарий