none
Создание сертификата OWA для Exchange 2007 RRS feed

  • Вопрос

  • С сертификатами имею дело первый раз, прочитал все что пишут тут и не только. Приблизительно общий ход событий представляю, но полученные знания не совсем формируются в пошаговые действия, по этому прошу помочь. Понимаю что тема избита, но просто не понятны некоторые нюансы.

    И так хочу запустить OWA на Exchange 2007 через ISA 2006 .

    Нашёл статью http://www.msexchange.org/tutorials/MF004.html , но некоторые моменты расходятся, и я не знаю на сколько это критично. Так же встречал упоминание, что можно как то выпустить свой сертификат с своего ЦС для подобного случая, но мне кажется что он будет локальным и работать через него внешним клиентам не получиться (если не прав прошу поправить).

    Делал следующее:

    На сервере mailsrv (Exchange 2007 sp3) зашёл в "Диспетчер служб IIS"

    добрался до "Веб-узел по умолчанию"

    в свойствах "Веб-узел по умолчанию" выбрал закладку "Безопасность каталога"

    в разделе "Безопасные подключения" нажал на кнопку "Сертификат..."

    во втором окне мастера сертификатов ISS выбрал "Обновить текущий сертификат" (не понятно почему не создать?)

    далее выбрал "подготовить запрос сейчас, что бы отправить его позже"

    указал путь сохранения сертификата

    в окне "сведения о файле запроса" получил "получатель сертификата mailsrv" "Понятное имя Microsoft Exchange".

    Все, никаких запросов больше мастер не задавал, хотя я так понимаю, что как минимум должен был указать внешнее доменное имя ISA сервера как минимум.

    И далее не понятно куда отправлять созданный файл запроса сертификата?

    Подскажите пожалуйста, что делаю не так?

    • Перемещено Hengzhe Li 12 марта 2012 г. 6:18 forum merge (От:Exchange Server 2007)
    15 сентября 2010 г. 12:19

Ответы

  • 16 сентября 2010 г. 14:31
  • Спасение утопающих - дело рук самих утопающих.
    Недавно "тонул" на эту же тему, кое-что еще помню.

    1) Для генерации сертификата выполнил вот такой скрипт в командной консоли эксченджа:

    New-ExchangeCertificate -Path "C:\CertRequest.req" -DomainName Имя_хоста.имя_домена.ru, имя_хоста.доменАД, Имя_хоста -FriendlyName Имя_хоста.имя_домена.ru -IncludeAcceptedDomains:$True -SubjectName "c=ru,o=МОЕ ООО Ltd, cn=Имя_хоста.имя_домена.ru" -PrivateKeyExportable:$True -GenerateRequest:$True

    2) затем запросил сертификат используя этот запрос, шаблон - веб-сервер. Получил сертификат вполне успешно, сохранил на диск.

    3) Поместил этот в ексчендж. Включил его для служб POP3 IMAP SMTP HTTPS. (опять таки в командной консоли эксченджа)

    4) В командной консоли эксченджа сделал экспорт сертификата и перенес его на сервер ИСА2006 и использовал при настройке HTTPS доступа.

     

    Как я понимаю, при генерации запроса на сертификат важно указать и внешнее и внутреннее имя сервера (FQDN) и, на всяк случай, просто, имя хоста . Вот я и перечислил все имена почтового сервера, кал внешние, так и внутренние  -DomainName Внешнее_Имя_хоста.имя_домена.ru, имя_хоста.доменАД, Имя_хоста

    еще раз расшифровываю: Внешнее_Имя_хоста.имя_домена.ru - это FQDN, куда пользователи обращаются за почтой, должно быть регистрировано во внешнем ДНС-сервере и указывать на ИСА-сервер, например: mail.MyDomain.ru

    имя_хоста.доменАД - Это FQDN в локальной сети. У меня имя домена не имеет никаких суффиксов типа local, просто совпадает с нетбиос-именем. Если у Вас еще и суффикс есть, то его тоже надо добавлять.

    Имя_хоста - на всяк случай добавил нетбиос-имя, вдруг кто в локалке укажет имя сервера не используя FQDN

    -SubjectName "c=ru,o=МОЕ ООО Ltd, cn=Имя_хоста.имя_домена.ru" - тупо повторил.

    -PrivateKeyExportable:$True - обязательно, иначе не сможете выполнить шаг 4

     

    Да, вот еще что. Перечень и формат командлетов эксченджа есть тут:

    http://technet.microsoft.com/ru-ru/library/aa997231(EXCHG.80).aspx

    27 октября 2010 г. 12:27

Все ответы

  • 1.  у Вас свой CA есть в домене?

    2. статья старая и не подходит, вам нужно к примеру

    http://www.isaserver.org/tutorials/Publishing-Exchange-2007-OWA-Exchange-ActiveSync-RPCHTTP-using-2006-ISA-Firewall-Part1.html

    или http://www.msexchange.org/tutorials/Publishing-Exchange-2007-OWA-ISA-Server-2006.html

    15 сентября 2010 г. 13:52
  • Свой ЦС есть стоит на одном из серверов домена.

    Содержание первой ссылки попадалось переводом на русский только первых 3-х статей, буду изучать остальные, они как раз актуальны.

    Вторая ссылка как раз опускает необходимый момент, видимо рассчитана на людей с опытом работы с ЦС.

     

    15 сентября 2010 г. 14:07
  • принцип вкратце такой - вы создаете запрос сертификата для exchange с помощью New-ExchangeCertificate, обязательно с опцией –PrivateKeyExportable для возможности последующего экспорта для импорта в ису, затем полученный запрос скармливаете в ЦС, затем полученный серт импортируете на машину с эксченжем, где генерили запрос, получаете сертификат и хранящийся закрытый ключ с возможностью экспорта, делаете enable-exchangecertificate,  далее это дело выгружаете командой вида Export-ExchangeCertificate -Thumbprint <bla-bla> -Path c:\tools\cas-sert.pfx -Password:(Get-Credential).password

    После этого полученное импортируете на isa-сервере в нужный listener. ps давно не делал эту операцию, но порядок действий примерно такой

    15 сентября 2010 г. 14:23
  • почему так??

    в ИИС на компе, где Екч, делаем запрос на "сертификат домена", в качестве имени ставим внешнее имя. дальше, экспортируем в файл ЦЕР с паролем, копируем на ису, устанавливаем в локальный компьютер - личное. создаем прослушиватель, там указываем этот сертификат. после чего создаем само правило публикации. и все.

    а клиентам выдаем именные сертификаты.

    Екч 2007 СП1 на 2008 СП1, ЦС на нем же.

     

    15 сентября 2010 г. 15:13
  • почему так??

    в ИИС на компе, где Екч, делаем запрос на "сертификат домена", в качестве имени ставим внешнее имя. дальше, экспортируем в файл ЦЕР с паролем, копируем на ису, устанавливаем в локальный компьютер - личное. создаем прослушиватель, там указываем этот сертификат. после чего создаем само правило публикации. и все.

     

     


    полностью согласен, для isa можно выпустить свой отдельный сертификат таким способом, равно как и публичный сертификат прикрутить. Мой вариант подходит для совпадения внешнего и внутреннего имён
    15 сентября 2010 г. 15:59
  • почему так??

    в ИИС на компе, где Екч, делаем запрос на "сертификат домена", в качестве имени ставим внешнее имя. дальше, экспортируем в файл ЦЕР с паролем, копируем на ису, устанавливаем в локальный компьютер - личное. создаем прослушиватель, там указываем этот сертификат. после чего создаем само правило публикации. и все.

    а клиентам выдаем именные сертификаты.

    Екч 2007 СП1 на 2008 СП1, ЦС на нем же.

     

    Я же писал причем специально описал все пошагово, предлагается только обновить, и все, никакие особые данные не вносятся.
    16 сентября 2010 г. 13:42
  • 16 сентября 2010 г. 14:31
  • почему так??

    //далее выбрал "подготовить запрос сейчас, что бы отправить его позже"

    выбрали бы сразу отправить, тогда в дальнейших шагах вас спросили про имя.

    16 сентября 2010 г. 15:32
  • Был небольшой промежуток, но я опять вернулся к проблеме.

    И так, начал выполнять действия согласно указанной статье. И остановился на следующем:

    под рисунком 4 написано что необходимо перейти по ссылке http://dc/certsrv - перехожу "Невозможно отобразить страницу".

    Подскажите пожалуйста, что делаю не так?

     

    О! осознал в адресе в место dc необходимо написать имя локальной машины с установленным ЦС.


    29 сентября 2010 г. 9:05
  • Следующий момент тоже не совсем понятен - In the Identifying Information of Offline Template section, enter the common name that will appear on the certificate in the Name text box. Remember, the common or subject name must be the name that users will use to access the OWA, RPC/HTTP and ActiveSync sites. У меня совсем другое окно, когда я выбираю web server - у меня далее идет сразу раздел "Параметры ключа". Почему не понятно?

     

    Разобрался, необходимо разрешить работу сценариев и элементов ActiveX.

    29 сентября 2010 г. 11:48
  • Опять продолжил разбираться.

    Нашёл статью по созданию сертификатов внутренним ЦС.

    http://www.cross-systems.ru/index.php?option=com_content&view=article&id=62:-exchange-2007-owa---isa-server-2006&catid=1:articles&Itemid=5

    Все сделал, в результате не получилось и пишет 

    Категория: Ошибка сертификата опубликованного сервера
    Описание ошибки: 0x80090325 - Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.
    Действие: Перейти по ссылке http://go.microsoft.com/fwlink/?LinkId=115965

    Сходил по ссылке, но не совсем понятно, что сделано не так. Хотя есть подозрения, что я как то неправильно даю имя сертификату:

    "внешнееимя.ру".

    Далее соответственно в прослушивателе выбираю тип подключения ssl и порт, в закладке "внешнее имя" прописываю "внешнееимя.ру"

     

    Подскажите пожалуйста, что делаю не так?

     

    26 октября 2010 г. 9:29
  • Спасение утопающих - дело рук самих утопающих.
    Недавно "тонул" на эту же тему, кое-что еще помню.

    1) Для генерации сертификата выполнил вот такой скрипт в командной консоли эксченджа:

    New-ExchangeCertificate -Path "C:\CertRequest.req" -DomainName Имя_хоста.имя_домена.ru, имя_хоста.доменАД, Имя_хоста -FriendlyName Имя_хоста.имя_домена.ru -IncludeAcceptedDomains:$True -SubjectName "c=ru,o=МОЕ ООО Ltd, cn=Имя_хоста.имя_домена.ru" -PrivateKeyExportable:$True -GenerateRequest:$True

    2) затем запросил сертификат используя этот запрос, шаблон - веб-сервер. Получил сертификат вполне успешно, сохранил на диск.

    3) Поместил этот в ексчендж. Включил его для служб POP3 IMAP SMTP HTTPS. (опять таки в командной консоли эксченджа)

    4) В командной консоли эксченджа сделал экспорт сертификата и перенес его на сервер ИСА2006 и использовал при настройке HTTPS доступа.

     

    Как я понимаю, при генерации запроса на сертификат важно указать и внешнее и внутреннее имя сервера (FQDN) и, на всяк случай, просто, имя хоста . Вот я и перечислил все имена почтового сервера, кал внешние, так и внутренние  -DomainName Внешнее_Имя_хоста.имя_домена.ru, имя_хоста.доменАД, Имя_хоста

    еще раз расшифровываю: Внешнее_Имя_хоста.имя_домена.ru - это FQDN, куда пользователи обращаются за почтой, должно быть регистрировано во внешнем ДНС-сервере и указывать на ИСА-сервер, например: mail.MyDomain.ru

    имя_хоста.доменАД - Это FQDN в локальной сети. У меня имя домена не имеет никаких суффиксов типа local, просто совпадает с нетбиос-именем. Если у Вас еще и суффикс есть, то его тоже надо добавлять.

    Имя_хоста - на всяк случай добавил нетбиос-имя, вдруг кто в локалке укажет имя сервера не используя FQDN

    -SubjectName "c=ru,o=МОЕ ООО Ltd, cn=Имя_хоста.имя_домена.ru" - тупо повторил.

    -PrivateKeyExportable:$True - обязательно, иначе не сможете выполнить шаг 4

     

    Да, вот еще что. Перечень и формат командлетов эксченджа есть тут:

    http://technet.microsoft.com/ru-ru/library/aa997231(EXCHG.80).aspx

    27 октября 2010 г. 12:27
  • В третьем пункте Вы указали "HTTPS", я не нашёл команды для его активации.
    1 ноября 2010 г. 12:42
  • Извините, ошибочка вкралась. Я имел в виду IIS
    1 ноября 2010 г. 18:51
  • Пробую экспортировать спомощъю скрипта:

     

    Export-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -BinaryEncoded:$true -Path c:\certificates\export.pfx
     -Password:(Get-Credential).password

     

    пишет:

    Ошибка экспорта ключа в формате PKCS-12: не удается получить доступ к закрытому ключу, либо этот ключь не экспортируется.
    Parametr name: Thumbprint
    At line:1 char:27

    непонятно, при создании сертификата ключ "-PrivateKeyExportable:$True" использовал. Где ошибся?

    8 ноября 2010 г. 13:44
  • тема еще интересна?

    Посмотрите, может в доменных политиках экспорт запрещен

    20 ноября 2010 г. 12:01