none
Продление сертификатов на почтовых серверах и TMG RRS feed

  • Вопрос

  • Доброго времени суток!

     Своего рода вводная: прошел уже почти год с момента установки почтовой системы и соответственно пора обновлять сертификаты, но в силу того, что почтой занимаюсь не так давно, не сильно понятно как это все сделать правильно. Покурив гугл, к сожалению не нашел того что искал.   Схема предприятия следующая: два почтовых сервера с ролями CAS, MS, H, сервер с ролью EDGE (не в домене), ну и соответственно шлюз с TMG (тоже не в домене), итого четыре штуки.

      Теперь сам вопрос: как правильно продлить сертификаты на всех четырех серверах, с учетом того, что нужно в сертификат добавить еще три обслуживаемых домена? Перевыпустить заново как при начальной настройке серверов или есть какой то более гуманный способ продления? Дело в том что примерно половина пользователей находятся достаточно далеко и рассылать сертификаты как то не сильно хочется.

     Заранее спасибо за ответы и если есть такая возможность ткните носом в подробный мануал (желательно с картинками:))


    • Изменено Yevney 2 февраля 2012 г. 18:33
    2 февраля 2012 г. 18:32

Ответы

  • 1. На EDGE запустите командлет, " Get-ExchangeCertificate | fl Thumbprint, NotAfter, Status " , который выведит инфу ввиде:

    Thumbprint : D1F32787....
    NotAfter  : 19.10.2015 17:34:49
    Status     : Valid

    , где NotAfter есть дата окончания действия сертификата. Если дата критична, сертификат можно обновить выполнив командлет " Get-ExchangeCertificate -Thumbprint  СертификатаEDGE | New-ExchangeCertificate "

    Более подробно по Exchange сертификатам http://technet.microsoft.com/ru-ru/library/gg502577.aspx

    2. Если вы желаете добавить дополнительные CertificateDomains в существующий сертификат сохранив его: необходимо создать новый запрос на сертификат с указанием необходимых CertificateDomains, затем, в зависимости какой CA вы используете коммерческий или внутренний, допустим внутренний, подписать его и скачать в виде файла на сервер, затем обновить существующий, весь процесс запроса и обновления можно выполнить через EMC или EMS за исключением процесса подписи и загрузки сертификата.

    3. Сертификат для TMG импортируется в его локальное хранилище сертификатов "Start/Run/certmgr.msc" далее Import.

    Подробности о подписи и импорта сертификата для Exchange и TMG  http://www.rootfront.com/article/532031/2011-06-30/sertifikat-dlja-servera-exchange-2010


    Andrey Podlesnykh | MCTS: Microsoft Exchange Server 2007/2010 | MCSA
    3 февраля 2012 г. 7:34

Все ответы

  • 1. На EDGE запустите командлет, " Get-ExchangeCertificate | fl Thumbprint, NotAfter, Status " , который выведит инфу ввиде:

    Thumbprint : D1F32787....
    NotAfter  : 19.10.2015 17:34:49
    Status     : Valid

    , где NotAfter есть дата окончания действия сертификата. Если дата критична, сертификат можно обновить выполнив командлет " Get-ExchangeCertificate -Thumbprint  СертификатаEDGE | New-ExchangeCertificate "

    Более подробно по Exchange сертификатам http://technet.microsoft.com/ru-ru/library/gg502577.aspx

    2. Если вы желаете добавить дополнительные CertificateDomains в существующий сертификат сохранив его: необходимо создать новый запрос на сертификат с указанием необходимых CertificateDomains, затем, в зависимости какой CA вы используете коммерческий или внутренний, допустим внутренний, подписать его и скачать в виде файла на сервер, затем обновить существующий, весь процесс запроса и обновления можно выполнить через EMC или EMS за исключением процесса подписи и загрузки сертификата.

    3. Сертификат для TMG импортируется в его локальное хранилище сертификатов "Start/Run/certmgr.msc" далее Import.

    Подробности о подписи и импорта сертификата для Exchange и TMG  http://www.rootfront.com/article/532031/2011-06-30/sertifikat-dlja-servera-exchange-2010


    Andrey Podlesnykh | MCTS: Microsoft Exchange Server 2007/2010 | MCSA
    3 февраля 2012 г. 7:34
  • Добрый день!

    Спасибо за ответ, но к сожалению вышеперечисленное не помогло((

    При попытке обновления сертификата на самом почтовом сервере создается только отложенный запрос подписи сертификата. И все, дальше сделать ничего не получается, потому как если попробовать выполнить ожидающий запрос, требуется новый сертификат для сопоставления с запросом...

     И вот тут я уже совсем не понимаю что делать..

    12 февраля 2012 г. 10:58
  • И еще раз здраствуйте!

    После вдумчивого пинания гугла и надцтый раз просмотра вебкаста т-ща Богомолова победил я эту беду.

    Оказалось гораздо проще создать новый (заняло минут 15), чем пытаться продлить существующий. Единственный затык был в том, что сервера у меня редакции стандарт и при заходе на http://dc/certsrv нельзя выбрать шаблон сертификата. В итоге создал запрос без шаблона-подтвердил его с AD и добавил сервисы. На этом собственно все. Огромное спасибо Алексею Богомолову (http://www.alexxhost.ru/) за вебкасты. Единственное что осталось непонятно, почему нет какого то более простого инструмента для продления сертификатов.

    12 февраля 2012 г. 12:20
  • Добрый день,

    Возможно, после импорта сертификата http://technet.microsoft.com/ru-ru/library/bb310769.aspx ,

    Вы забыли выполнить его включение http://technet.microsoft.com/ru-ru/library/ee332322.aspx

    Например: Enable-ExchangeCertificate -Server Ваш_CAS_Сервер-Services 'IMAP, POP, IIS, SMTP' -Thumbprint (нового сертификата) 'AD19B141228C7CF98B5F78DCED978B7C45E15434'

    После включения нового сертификата, он становиться действующим для сервисов 'IMAP, POP, IIS, SMTP' , старый можно оставить или удалить по истечение его срока: Remove-ExchangeCertificate -Thumbprin (старого или просроченнго сертификата )5113ae0233a72fccb75b1d0198628675333d010e


    Andrey Podlesnykh | MCTS: Microsoft Exchange Server 2007/2010 | MCSA

    12 февраля 2012 г. 20:26
  • Добрый день!

    Наверное я что то не так объясняю...

    Если попробовать продлить существующий сертификат (прав кнопкой-продлить), причем продлить нужно  сертикат для публикации вебсервисов, оутлука итд, создается шифрованный запрос, на основании которого вроде как нужно получить сертификат, но как это сделать я так и не нашел....

      В итоге был создан сертификат таким же образом как и при начальной установке почтового сервера. Собственно в этом и был вопрос, есть ли возможность продления или же нужно делать сертификат заново, как оказалось проще сделать заново.

    Спасибо за ответы.

    13 февраля 2012 г. 5:59
  • Если попробовать продлить существующий сертификат (прав кнопкой-продлить), причем продлить нужно  сертикат для публикации вебсервисов, оутлука итд, создается шифрованный запрос, на основании которого вроде как нужно получить сертификат, но как это сделать я так и не нашел....

    Добрый день,

    Необходимо подписать сгенерированный запрос используя внутренний CA "http://dc/certsrv" или подписать у коммерческого удостоверяющего центра сертификатов.


    Andrey Podlesnykh | MCTS: Microsoft Exchange Server 2007/2010 | MCSA

    13 февраля 2012 г. 6:21
  • Это невозможно сделать, потому как сгенерированный запрос выглядит примерно так:

     ‚ РЂ3іЖ†^eћыAЫfП B–px“ДБСС"УЅQ…ѓ˜—зр}=ь?Cw^ъХ[v_–M›,ыjЕУГЬ‰»Йh иЯІнњЏmЖь–«»кCR{Ѕ”!ШУ•BzеUd    о6xg„яndµUЋIђЩйPtD3“НеЫЇY/МсЏЙћ“ъУнYЦ˜]Б;УRцWЫ¶х‰[ЇМРќl!~щИлg{“]=оj†GЕ¦T6йrЩї¤дpu?Ёg`.ЊЪбTfВШГвЃ9a „Ящк]ЅУцPЛX–З

    и соответственно подписать его локальный ЦС не в состоянии.

    13 февраля 2012 г. 7:19
  • Т.е. Вы открываете файл запроса notepad _ом или wordpad _ ом, а внутри видите выше описанное "РЂ3іЖ†^eћыAЫfП B–px“ДБСС" ?


    Andrey Podlesnykh | MCTS: Microsoft Exchange Server 2007/2010 | MCSA

    13 февраля 2012 г. 7:32
  • Именно так. Но только в том случае, если пытаться продлить. Новый создал без каких либо нововведений))
    13 февраля 2012 г. 7:35
  • Но только в том случае, если пытаться продлить. Новый создал без каких либо нововведений))

    Дело в том, что в любом случае хотите ли Вы создать новый сертификат или обновить старый, первым действием, создается запрос на сертификат. Вы создает запрос с внесением каких либо изменений, допустим новых доменов? Я так понимаю, если Вы создаете запрос используя параметры из старого сертификата который Вы ходите пересоздать у Вас запрос генериться и файл открывается с корректной ключевой информацией, а новый запрос с изменениями, генериться но открывается криво?

    Andrey Podlesnykh | MCTS: Microsoft Exchange Server 2007/2010 | MCSA

    13 февраля 2012 г. 7:46
  • Я не вносил никаких изменений, изначально задача стояла просто продлить. А на счет запроса, Вы все правильно поняли.
    13 февраля 2012 г. 8:00
  • Я не вносил никаких изменений, изначально задача стояла просто продлить. А на счет запроса, Вы все правильно поняли.

    Что бы продлить нужно создать новый запрос так же как и для получения нового сертификата, он у Вас создается и отрывается, и ключевая информация отображается коректно?

    Andrey Podlesnykh | MCTS: Microsoft Exchange Server 2007/2010 | MCSA

    13 февраля 2012 г. 8:06
  • Андрей, судя по всему Вы так меня и не поняли, попробую объяснить поподробней:

    На существующем сертификате, срок годности которого заканчивается, прав кнопкой-продлить-в результате создается файл.req и в консоли создается отложенный запрос подписи, на этом собственно все. Если попытаться блокнотом открыть файл.req то отображается вышеперчисленная хня. Если же попытаться из той же консоли выполнить запрос, то необходим сертификат для подтверждения, но откуда его брать я так и не понял.

    Забив на продление, создал новый сертификат, новый запрос открыл все тем же блокнотом (все отображается корректно), подтвердил запрос локальным ЦС и на этом все сложилось..Ну а дальше импорт на TMG дело техники.

       Ну и собственно резюме: основным вопросом моего поста было, как корректно продлить сертификат, а не создавать его заново. На собственном примере  понял , что проще и быстрее создать заново...Тему можно закрыть, Спасибо.

    13 февраля 2012 г. 8:37
  • Беда всех этих вэбкастов - использование вэб морды центра сертификации..

    Добавили бы хотя бы текстом - "а теперь все действия из коммандной строки:

    CertReq –New –f чудопараметры.inf запроссервера111.req

    certreq -submit -attrib "CertificateTemplate:супершаблон" запроссервера111.req

    ну или типа того...


    14 февраля 2012 г. 8:08