none
запрос сертификата для ActiveSync RRS feed

  • Вопрос

  • Прелюдия: Имеется стандартная организация Exchange 2007 (в интрасети Mailbox-hub-cas сервер и Edge server соединенные аппаратным firewall'ом. Домен Active Directory c разными DNS именами внутри и снаружи). При использовании owa попадаем на страницу с веселым текстом: "Ошибка в сертификате безопасности этого веб-узла. Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации. Сертификат безопасности этого веб-узла был выпущен для веб-узла с другим адресом", но по предъявлении учетной записи и пароля - далее все работает прекрасно. При попытке использовать по умолчанию самоподписанный сертификат Exchange сервера на PDA (Windows Mobile 6.1) печальный результат: "Недопустимый сертификат безопасности на сервере. Обратитесь к ..." код поддержки 0х80072F06 Проблема: Не могу создать запрос на получение сертификата. Принято решение использовать PKI Active Directory, подняты центры сертификации, есть желание создать единый сертификат на все SMTP домены и имена сервера CAS. При попытке на сервере CAS с консоли PS запустить New-ExchangeCertificate - идет ругань на параметры после 24 символа (сразу после -generaterequest), даже если там безобидные параметры типа пути к файлу запроса. А при попытке создать запрос используя управление IIS - на закладке Directory Security при нажатии Server Certificate мастер предлагает обновить/переместить/удалить самоподписанный сертификат, а про запрос нового сертификата, так чудесно описанный в Deploying Windows Mobile 6 Devices with Microsoft Exchange Server 2007 нет даже намека! Мастер не тот! Сам я не местный, буксую, лучше step-by-step или почитать чего недолго. Помогите советом дельным!
    • Перемещено Hengzhe Li 16 марта 2012 г. 8:31 forum merge (От:Exchange Server 2007)
    8 января 2009 г. 18:58

Ответы

  •  И. Уншлихт написано:

    ... если из Интернет заходить OWA пишет: "Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации", но если продолжить работу - доступ к почте получается

    А коммуникатор (сертификат скопирован и установлен посредством файловой системы) возвращает несколько другой код поддержки: 0x80072F0d - "Недопустимый сертификат безопасности на сервере. Обратитесь..."

    По всей видимости, вы установили не тот сертификат, либо неправильно его экспортировали, либо неправильно установили. Проверьте порядок выполненных действий:

    1. Экспорт сертификата корневого локального ЦС:

      - в консоли найти и открыть созданный вами сертификат,

      - вкладка "Путь сертификации", стать на корень и нажать "Просмотр сертификата".

      - вкладка "Состав", кнопка "Копировать в файл",

      - открылся мастер экспорта сертификатов. Нажать "Далее" 2 раза, выбрать "Файлы в DER кодировке X.509", нажать "Далее", указать место для сохранения.

    2. Устанока экспортированного сертификата на удалённый компьютер

      - В консоли сертификатов компьютера в дереве открыть "Сертификаты (локальный компьютер)" - "Личные"

      - Правый клик на "Личные", "Все задачи" - "Импорт", указать на файл, указать папку для размещения "Доверенные...", "Готово"

    3. Установка на PDA: скопировать и установить средствами его ОС.

    • Помечено в качестве ответа Nikita PanovModerator 11 августа 2009 г. 12:12
    19 января 2009 г. 10:18

Все ответы

  •  И. Уншлихт написано:
    При попытке использовать по умолчанию самоподписанный сертификат Exchange сервера на PDA (Windows Mobile 6.1) печальный результат: "Недопустимый сертификат безопасности на сервере. Обратитесь к ..." код поддержки 0х80072F06 Проблема: Не могу создать запрос на получение сертификата.

    Все правильно. С самоподписанным сертификатом Exchange иначе не будет.

     И. Уншлихт написано:
    Принято решение использовать PKI Active Directory, подняты центры сертификации, есть желание создать единый сертификат на все SMTP домены и имена сервера CAS.
    Решение верное только в том случае, если имеется возможность добавить на PDA в список доверенных ЦС сертификат используемого локального ЦС. Зачастую это невозможно без перепрошивки. А если этого не сделать, результат будет такой же. В этом случае выход один - покупка сертификата.

     И. Уншлихт написано:
    При попытке на сервере CAS с консоли PS запустить New-ExchangeCertificate - идет ругань на параметры после 24 символа (сразу после -generaterequest), даже если там безобидные параметры типа пути к файлу запроса. А при попытке создать запрос используя управление IIS - на закладке Directory Security при нажатии Server Certificate мастер предлагает обновить/переместить/удалить самоподписанный сертификат, а про запрос нового сертификата, так чудесно описанный в Deploying Windows Mobile 6 Devices with Microsoft Exchange Server 2007 нет даже намека! Мастер не тот! Сам я не местный, буксую, лучше step-by-step или почитать чего недолго. Помогите советом дельным!
    Дельный совет - не использовать PS, а создать запрос через веб-интерфейс локального ЦС. Для этого в експлорере нужно открыть https://<имя или адрес локального ЦС>/CertSrv, затем выбратть тип "Web-сервер", в поле имени указать FQDN, для которого запрашивается сертификат.

    Таким образом нужно создать на каждое имя отдельный сертификат, установить их на почтовик, и уже затем из PS с помощью Enable-ExchangeCertificate привязать их к SMTP.

    9 января 2009 г. 7:12
  • Спасибо!

    В конце недели попробую и отпишусь (сейчас далеко от сервера).

    12 января 2009 г. 9:31
  • Неудачи продолжаются:

    При исполнении совета Kf_GoldFish получить запрос на сертификат в броузере

    "Для этого в експлорере нужно открыть  https://<имя или адрес локального ЦС>/CertSrv, затем ..."

    получаю ответ:

    Page cannott be found

    с любой точки даже если пытаюсь с консоли (localhost)

    Что еще могу предпринять?

    16 января 2009 г. 8:39
  •  И. Уншлихт написано:

    Неудачи продолжаются:

    При исполнении совета Kf_GoldFish получить запрос на сертификат в броузере

    "Для этого в експлорере нужно открыть  https://<имя или адрес локального ЦС>/CertSrv, затем ..."

    получаю ответ:

    Page cannott be found

    с любой точки даже если пытаюсь с консоли (localhost)

    Что еще могу предпринять?



    Начните отсюда

    Управление Exchange ActiveSync
    16 января 2009 г. 9:03
  •  И. Уншлихт написано:

    Неудачи продолжаются:

    При исполнении совета Kf_GoldFish получить запрос на сертификат в броузере

    "Для этого в експлорере нужно открыть  https://<имя или адрес локального ЦС>/CertSrv, затем ..."

    получаю ответ:

    Page cannott be found

    с любой точки даже если пытаюсь с консоли (localhost)

    Что еще могу предпринять?

    Значит кто-то прибил CertSrv в IIS... Переустановите ЦС.
    16 января 2009 г. 13:21
  • Спасибо!

    Действительно, служба CA не была установлена (справедливости ради отмечу, что в руководствах не видел такого требования).

    Установил службу и на  https://<имя или адрес локального ЦС>/CertSrv удалось зайти! Продолжение в воскресенье, попробую получить и попробовать сертификаты.

    16 января 2009 г. 15:13
  •  И. Уншлихт написано:

    Спасибо!

    Действительно, служба CA не была установлена (справедливости ради отмечу, что в руководствах не видел такого требования).

    Установил службу и на  https://<имя или адрес локального ЦС>/CertSrv удалось зайти! Продолжение в воскресенье, попробую получить и попробовать сертификаты.



    Для повышения безопасности рекомендуется развернуть достоверный сертификат стороннего коммерческого центра сертификации или доверенного центра сертификации инфраструктуры открытого ключа (PKI) Windows. Дополнительные сведения о настройке достоверного цифрового сертификата см. в разделе Инструкции по настройке SSL для Exchange ActiveSync.

    http://technet.microsoft.com/ru-ru/library/bb232020.aspx

    Плохо документ изучили.
    16 января 2009 г. 15:19
  • Маленький шаг вперед:

    Спасибо всем отвечающим/помогающим!

     

    Удалось с помощью серии команд get-ExchangeCertificate, New-ExchangeCertificate построить запрос,  получить сертификат в CA и активировать его для служб POP3, IMAP, IIS. Сертификат выполнен для всех допустимых имен как в интернете так и в интрасети (первым стоит FQDN CAS-сервера в Интернет и в альтернативных именах указаны все домены).

    При тестировании в интранет OWA заходит уже без предупреждений о недостоверном сертификате.

    А вот если из Интернет заходить OWA пишет: "Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации", но если продолжить работу - доступ к почте получается

    А коммуникатор (сертификат скопирован и установлен посредством файловой системы) возвращает несколько другой код поддержки: 0x80072F0d - "Недопустимый сертификат безопасности на сервере. Обратитесь..."

    За рекомендованные ссылки спасибо, изучены на уровне операций,

    но что еще можно предпринять?

     

    18 января 2009 г. 15:09
  •  И. Уншлихт написано:

    ... если из Интернет заходить OWA пишет: "Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации", но если продолжить работу - доступ к почте получается

    А коммуникатор (сертификат скопирован и установлен посредством файловой системы) возвращает несколько другой код поддержки: 0x80072F0d - "Недопустимый сертификат безопасности на сервере. Обратитесь..."

    По всей видимости, вы установили не тот сертификат, либо неправильно его экспортировали, либо неправильно установили. Проверьте порядок выполненных действий:

    1. Экспорт сертификата корневого локального ЦС:

      - в консоли найти и открыть созданный вами сертификат,

      - вкладка "Путь сертификации", стать на корень и нажать "Просмотр сертификата".

      - вкладка "Состав", кнопка "Копировать в файл",

      - открылся мастер экспорта сертификатов. Нажать "Далее" 2 раза, выбрать "Файлы в DER кодировке X.509", нажать "Далее", указать место для сохранения.

    2. Устанока экспортированного сертификата на удалённый компьютер

      - В консоли сертификатов компьютера в дереве открыть "Сертификаты (локальный компьютер)" - "Личные"

      - Правый клик на "Личные", "Все задачи" - "Импорт", указать на файл, указать папку для размещения "Доверенные...", "Готово"

    3. Установка на PDA: скопировать и установить средствами его ОС.

    • Помечено в качестве ответа Nikita PanovModerator 11 августа 2009 г. 12:12
    19 января 2009 г. 10:18
  • Ура! Лед тронулся!

    Спасибо, Kf_GoldFish!

    Я последний пост понял так: необходимо установить на коммуникатор сертификат корневого центра сертификации Active Directory.

    Как только это сделал - все заработало хорошо и быстро.

    Резюмируя обсуждение, сообщаю: при использовании центров сертификации своей организации для активации ActiveSync на коммуникатор необходимо иметь и установить два сертификата: один - сервера Exchange (у меня расположился в промежуточном хранилище, наверное, потому что его выдавал дочерний центр сертификации в АД), второй - корневого центра сертификации (расположился в корневом хранилище). Активация служб сервера Exchange происходит как и описано в документации.

    Тут же полиси приехали, заколосилась адресная книга, сообщения полетели и как -то легко стало!

    Я искренне рад и благодарен всем отвечающим за дельные советы, и читающим за то, что не сбивали с правильного пути.

    Извиняюсь за медленное продвижение, но у меня operation отнимает не менее 75% раб. времени. Внедрение новых услуг происходит, как правило, по выходным и во время отпуска (никто не мешает).

     

    P.S. Мне хорошо!

     

    27 января 2009 г. 9:06