none
Восстановление/удаление центра сертификации домена RRS feed

  • Вопрос

  • Коллеги, добрый день. Подскажите пожалуйста, у меня накрылся почтовый сервер exchange 2013 на котором еще была роль Центра сертификации домена, с помощью которого я создавал сертификат для почтовых служб Exchange 2013. Больше ни для чего. Упавший сервер Exchange 2013 я восстановил с помощью Setup /m:RecoverServer и корректно удалил из AD. Буду покупать новое железо и устанавливать новый Exchange 2013, загонять его в DAG. Итого, в данный момент остался второй почтовый сервер Exchange 2013, для которого я успел выпустить сертификаты, он работает. ВОПРОС: как мне быть с упавшим центром сертификации? Можно ли его восстановить или надо вручную чистить а потом заново ставить?
    • Изменено Диком 29 октября 2019 г. 14:03
    29 октября 2019 г. 14:02

Ответы

  • Два варианта: либо восстанавливать на сервер с тем же именем (это если есть резервная копия БД ЦС, она создается вместе с System State), либо ставить новый ЦС на новый сервер.

    Старый при этом удалять ниоткуда не обязательно (по крайней мере, можно не торопиться), но сертификаты, там, где они используются, желательно перевыпустить заново на новом ЦС: иначе могут протухнуть списки отзыва и вылезти проблемы из-за этого.

    PS Использовать свой ЦС в качестве источника сертификатов для Exchange особого смысла не имеет: для внутренних подключений в большинстве случаев хватает самоподписанных сертификатов с самого сервера Exchange, а для внешнего доступа всё равно крайне желательно (чтобы не мучиться с доверием к сертификатам на разнообразных внешних устройствах) использовать коммерческие сертификаты, центрам сертификации которых эти устройства уже доверяют.


    Слава России!

    • Помечено в качестве ответа Диком 30 октября 2019 г. 10:47
    29 октября 2019 г. 14:11
  • Может быть такая ситуация - у вас через недельку (может месяц) протухнут закэшированные списки CRL, а текущие (если они лежат только на CA и не были опубликованы в AD) будут недоступны и возникнет предупреждение на сертификат при подключении к Exch (например OWA/Outlook).

    1. Восстанавливать CA из имеющегося только для того чтобы корректно работал текущий сертификат от CA особого смысла не вижу. Вам всё равно придётся новый CA развёртывать (и делать это надо в рамках отдельной ВМ, а не совмещая с другими ролями), заодно выпустите новый сертификат для служб Exch и замените текущий.

    2. Для exch лучше использовать коммерческие сертификаты от сторонних центров CA. Это best practices, да и стоят они не таких бешенных денег (вы за лицензии MS платите в разы больше).

    • Помечено в качестве ответа Диком 30 октября 2019 г. 10:48
    30 октября 2019 г. 6:16

Все ответы

  • Два варианта: либо восстанавливать на сервер с тем же именем (это если есть резервная копия БД ЦС, она создается вместе с System State), либо ставить новый ЦС на новый сервер.

    Старый при этом удалять ниоткуда не обязательно (по крайней мере, можно не торопиться), но сертификаты, там, где они используются, желательно перевыпустить заново на новом ЦС: иначе могут протухнуть списки отзыва и вылезти проблемы из-за этого.

    PS Использовать свой ЦС в качестве источника сертификатов для Exchange особого смысла не имеет: для внутренних подключений в большинстве случаев хватает самоподписанных сертификатов с самого сервера Exchange, а для внешнего доступа всё равно крайне желательно (чтобы не мучиться с доверием к сертификатам на разнообразных внешних устройствах) использовать коммерческие сертификаты, центрам сертификации которых эти устройства уже доверяют.


    Слава России!

    • Помечено в качестве ответа Диком 30 октября 2019 г. 10:47
    29 октября 2019 г. 14:11
  • Может быть такая ситуация - у вас через недельку (может месяц) протухнут закэшированные списки CRL, а текущие (если они лежат только на CA и не были опубликованы в AD) будут недоступны и возникнет предупреждение на сертификат при подключении к Exch (например OWA/Outlook).

    1. Восстанавливать CA из имеющегося только для того чтобы корректно работал текущий сертификат от CA особого смысла не вижу. Вам всё равно придётся новый CA развёртывать (и делать это надо в рамках отдельной ВМ, а не совмещая с другими ролями), заодно выпустите новый сертификат для служб Exch и замените текущий.

    2. Для exch лучше использовать коммерческие сертификаты от сторонних центров CA. Это best practices, да и стоят они не таких бешенных денег (вы за лицензии MS платите в разы больше).

    • Помечено в качестве ответа Диком 30 октября 2019 г. 10:48
    30 октября 2019 г. 6:16