none
Проблема с созданием корректного сертификата для работы Exchange 2007 RRS feed

  • Вопрос

  • Имеется почтовый сервер exchange который находится в домене medikcorporation.local. На внешнем DNS для него создана MX-запись mail.medcorp.ru. C внешним миром сервер общается через Cisco ASA 5510. Необходимо настроить синхронизацию почты на сервере с КПК HTC 710 через ActiveSync.
    На котроллере домена установил главный центр сертификации , который выдал сертификат почтовому серверу по запросу. В сертификате присутствует параметр "Дополнительное имя субъекта" где перечисляются все возможные DNS имена: exchange.medikcorporation.local,autodiscover
    .medikcorporation.local,mail.medcorp.ru,autodiscover.medcorp.ru.
    Установил этот сертификат в IIS (Default Web Site, вкладка Directory security).

    На КПК в корневые центры сертификации проинсталлировал корневой сертификат своего главного центра сертификации. Настроил параметры соединения через SSL, в графе имя сервера ввел
    mail.medcorp.ru, в графе имя домена - medikcorporation.local, ввел имя пользователя и пароль. При синхронизации связь с сервером не устанавливается выдает код поддержки говорящий о том что сертификат неподходит.
    Тогда я пошел другим путем заказал сертификат в сторонней организации для своего внешнего домена
    medcorp.ru. Также проинсталлировал его в IIS. Синхронизация с КПК заработала, а при открытии Outlook у пользователей каждый раз появляется фраза "Имя сертификата безопасности недопустимо или не соответствует имени узла", потому что в сертификате от сторонней организации нельзя прописать внутреннее имя почтового сервера т.е. exchange.medikcorporation.local.
    Вопрос:
    Как правильно создать сертификат в моем случае когда внутреннее и внешнее имя почтового сервера различное чтобы убить двух зайцев: синхронизацию с КПК и открытие Outlook без лишних вопросов?
    • Перемещено Hengzhe Li 12 марта 2012 г. 6:03 forum merge (От:Exchange Server 2007)
    9 июля 2008 г. 13:08

Ответы

  •  nickart написано:
    Команда которой я создал сертификат:
    New-ExchangeCertificate –GenerateRequest –DomainName exchange.medikcorporation.local,autodiscover.
    medikcorporation.local, mail.medcorp.ru,autodiscover.medcorp.ru –PrivateKeyExportableEmbarrassedTrue -FriendlyName "mail.medcorp..ru" –Path c:\certreq.txt
    Я бы не рекомендовал делать ключ экспортируемым.

    Воспользуйтесь такой командой:

    Code Snippet
    New-ExchangeCertificate –GenerateRequest –Path c:\certreq.txt –DomainName exchange.medikcorporation.local,autodiscover.medikcorporation.local, mail.medcorp.ru,autodiscover.medcorp.ru -FriendlyName "mail.medcorp.ru"

     nickart написано:
    Затем набрал в Explorer http://Name_Domain_Controller/certsrv
    Вставил из полученного txt файла все в запрос к CA и CA выдал мне сертификат с расширением cer.
    А какой шаблон вы указали? Надеюсь Web Server?

     nickart написано:
    Его я и импортировал в Личное хранилище почтового сервера.
    Вот это и есть ваша ошибка!

    Импорт нужно делать так:

    Code Snippet

    Import-ExchangeCertificate -Path c:\certnew.cer

    Что бы сразу прицепить сертификат к службам можно сделать так:

    Code Snippet

    Import-ExchangeCertificate -Path c:\certnew.cer | Enable-ExchangeCertificate –Services IIS,SMTP

     

    10 июля 2008 г. 15:10

Все ответы

  • Вообще, описанные действия с внутренним центром сертификации абсолютно правильные. Может вы где в имени ошибку допустили? ISA перед CAS'ом стоит?

    9 июля 2008 г. 13:19
  • Isa нет. Перед CAS стоит только Cisco ASA 5510 со встроенным фаерволом. Трафик между почтовым сервером и внешней сетью по протоколам http и https открыт.
    9 июля 2008 г. 13:46
  • А как именно вы сертификат создавали?

    Попробуйте ещё раз проделать данную процедуру с внутренним CA и проверить вход в OWA с мобилы...

    9 июля 2008 г. 15:58
  • Сертификат пробовал создавать разными методами.
    1. Создал центр сертификации на контроллере домене а затем открыл IIS на почтовом сервере, удалил сертификат самовыдачи Exchange который прописывается при развертывании Exchange 2007 и сформировал новый сертификат для Default Web Site путем прямого запроса к своему внутреннему центру сертификации. Установил на КПК сертификат корневого сертификационного центра и получил ответ что сертификат установленный на почтовом сервере неверный обратитесь к системному администратору.  Этот метод прост но не дает возможности создания альтернативных имен объекта, поэтому я решил что нужно как-то найти возможность создать сертификат с альтернативными именами
    2. Создал сертификат с альтернативными именами через Exchange Management Shell с помощью командлета New-ExchangeCertificate. Также проинсталлировал его в IIS и в КПК, эффект тот же самый.
    3. Запросил сертификат у сторонней организации, при чем как я уже говорил они его создают только для внешнего имени и все заработало, только у пользователей появляется при загрузке сообщение о не соответствии имени сертификата безопасности имени узла и пользователей очень раздражает постоянное нажатие на кнопочку "Да"

    По поводу OWA, пока стоит сертификат сторонней организации КПК подключается без проблем, как только ставлю в IIS свой внутренний сертификат получаю сообщение "отсутствует возможность проверки подлинности WEB узла".

    Самое интересное в том что если удалить сертификат сторонней организации из КПК, но оставить его в IIS, то синхронизация с почтовым сервером все равно работает нормально. А при попытке зайти в почту через OWA выдается сообщение "Сведения, которыми вы обмениваетесь с этим узлом, недоступны никому другому.Однако название, дата или поставщик сертификата данного узла являются недостоверными. Продолжить? ДА     Нет" Соответственно нажимаешь ДА и нормально заходишь в OWA.

    И тогда возникает вопрос в чем же все-таки разница между внутреним сертификатом и сертификатом сторонней организации?
    10 июля 2008 г. 6:52
  •  nickart написано:
    2. Создал сертификат с альтернативными именами через Exchange Management Shell с помощью командлета New-ExchangeCertificate. Также проинсталлировал его в IIS и в КПК, эффект тот же самый.
    Вот и корень вашей проблемы - устанавливать нужно не тот сертификат, что вы получили, а только сертификат вашего CA.

    Хотя в первом посте вы сказали, что сделали именно так! Где оговорка?

    10 июля 2008 г. 7:00
  • да оговорки нет также проинсталлировал значит все сделал как и раньше в IIS установил полученный сертификат а в КПК сертификат CA

    Я тут обнаружил в чем разница между внутренним сертификатом и внешним что как бы я сертификат не создавал когда я открываю вновь созданный внутренний сертификат для просмотра там на вкладке "Общие" нет значка ключа и отсутствует сообщение что "Есть закрытый ключ соответствующий данному сертификату".
    Вопрос: Почему при создании моего сертификата у меня не выдается закрытый ключ? И как его создать?
    10 июля 2008 г. 8:10
  • Почитайте - интересное чтиво Smile

    http://msexchangeteam.com/archive/2007/02/19/435472.aspx

    10 июля 2008 г. 8:13
  •  nickart написано:
    да оговорки нет также проинсталлировал значит все сделал как и раньше в IIS установил полученный сертификат а в КПК сертификат CA
    Ну и чего говорит мобила при входе в OWA? Ругается на сертификат? На что именно? Несоответствие имени?

     nickart написано:
    Вопрос: Почему при создании моего сертификата у меня не выдается закрытый ключ?
    Да всё он выдаётся. Как именно вы смотрите?

    10 июля 2008 г. 8:19
  • КПК говорит - "Отсутствует возможность проверки подлинности WEB узла"

    Смотрю я следующим образом: Открываю сертификат и на вкладке General(Общие) в самом низу должна быть пиктограмма ключа и надпись "есть закрытый ключ, соответствующий этому сертификату" а у меня этого нет.
    10 июля 2008 г. 10:30
  •  nickart написано:
    КПК говорит - "Отсутствует возможность проверки подлинности WEB узла"
    А что конкретно? Имя не соответствует, нет доверия к CA, срок истёк?

     nickart написано:
    Открываю сертификат
    Именно это вы как делаете?

    10 июля 2008 г. 10:33
  • все что было написано в КПК я изложил. Добавить больше нечего.

    Открываю сертификат путем двойного нажатия левой кнопки мыши
    10 июля 2008 г. 10:46
  •  nickart написано:
    все что было написано в КПК я изложил. Добавить больше нечего.
    А что за версия WM на нём такая?
     nickart написано:
    Открываю сертификат путем двойного нажатия левой кнопки мыши
    Либо вы в деталях ответите, либо я не смогу вам помочь.
    10 июля 2008 г. 10:48
  • Еще раз - закрытый ключ создается, когда вы импортируете сертификат на том же сервере, на котором делали запрос на сертификат. В противном случае закрытого ключа у вас не будет

    10 июля 2008 г. 10:56
  • Версия WM -6 Standart OC CE 5.2.1235 (Build 17740.0.2.0)

    Открытие сертификата на почтовом сервере:
    Пуск - Выполнить - Набираю mmc - добавляю оснастку Certificate - Захожу в хранилище Личные - импортирую туда сертификат который выдал мой CA - открываю его а там пиктограммы с ключом нет

    Команда которой я создал сертификат:
    New-ExchangeCertificate –GenerateRequest –DomainName exchange.medikcorporation.local,autodiscover.
    medikcorporation.local, mail.medcorp.ru,autodiscover.medcorp.ru –PrivateKeyExportableEmbarrassedTrue -FriendlyName "mail.medcorp..ru" –Path c:\certreq.txt

    Затем набрал в Explorer http://Name_Domain_Controller/certsrv
    Вставил из полученного txt файла все в запрос к CA и CA выдал мне сертификат с расширением cer. Его я и импортировал в Личное хранилище почтового сервера.
    10 июля 2008 г. 12:24
  •  nickart написано:
    Команда которой я создал сертификат:
    New-ExchangeCertificate –GenerateRequest –DomainName exchange.medikcorporation.local,autodiscover.
    medikcorporation.local, mail.medcorp.ru,autodiscover.medcorp.ru –PrivateKeyExportableEmbarrassedTrue -FriendlyName "mail.medcorp..ru" –Path c:\certreq.txt
    Я бы не рекомендовал делать ключ экспортируемым.

    Воспользуйтесь такой командой:

    Code Snippet
    New-ExchangeCertificate –GenerateRequest –Path c:\certreq.txt –DomainName exchange.medikcorporation.local,autodiscover.medikcorporation.local, mail.medcorp.ru,autodiscover.medcorp.ru -FriendlyName "mail.medcorp.ru"

     nickart написано:
    Затем набрал в Explorer http://Name_Domain_Controller/certsrv
    Вставил из полученного txt файла все в запрос к CA и CA выдал мне сертификат с расширением cer.
    А какой шаблон вы указали? Надеюсь Web Server?

     nickart написано:
    Его я и импортировал в Личное хранилище почтового сервера.
    Вот это и есть ваша ошибка!

    Импорт нужно делать так:

    Code Snippet

    Import-ExchangeCertificate -Path c:\certnew.cer

    Что бы сразу прицепить сертификат к службам можно сделать так:

    Code Snippet

    Import-ExchangeCertificate -Path c:\certnew.cer | Enable-ExchangeCertificate –Services IIS,SMTP

     

    10 июля 2008 г. 15:10
  •  Stаnky написано:
    Я бы не рекомендовал делать ключ экспортируемым.

    Однако это может потребоваться - например при использовании ISA Server Smile

    10 июля 2008 г. 20:44
  • Выше мы уже выяснили его отсутствие.

    10 июля 2008 г. 21:28
  • Спасибо большое за помощь!!!!!!!!
    Но я честно говоря шокирован тем что всегда думал к конечному результату можно прийти разными путями, а здесь все только через Exchange Management shell. Что-то в Microsoft опять перемудрили по-моему!!
    11 июля 2008 г. 7:29
  •  nickart написано:
    Спасибо большое за помощь!!!!!!!!
    Всегда пожалуйста!
     nickart написано:
    Что-то в Microsoft опять перемудрили по-моему!!
    Ну, не будь у вас потребности в создании сертификата с кучей дополнительных имён, можно было бы его и через IIS запросить.
    11 июля 2008 г. 7:33
  • Доброе время суток!

    Помогите, столкнулся с похожей проблемой, не могу создать корректно работающий сертификат  Exchange2007 для доступа клиентов Outlook2007 и OWA.

    Exchange2007 поднимался до меня, закончился срок жизни сертификата который как я понял создавался при установке. Сервер Exchange член домена. Домен: dir.local, Exchange: mx.dir.local , MX запись: mx.firma.ru,  OWA тоже ходить по адресу mx.firma.ru, дальше перенаправление на https://mx.firma.ru/owa.

    Сразу хочу отметить что большого опыта в создании сертификатов у меня нет.
    Прочитав кучу литературы и форумов, делал так:
    1. Поднял на DC службы сертификатов
    2. На MX в MMC/сертификаты почистил наделанные мной при всех попытках нерабочие сертификаты.
    3. На MX в EMS выполнил:

    New-ExchangeCertificate –GenerateRequest –Path d:\temp\mx.txt –DomainName mx, mx.dir.local,  autodiscover.dir.local, mx.firma.ru -FriendlyName "Microsoft Exchange"

    4. Зашел на http://dc/certsrv, потребовалось ввод логина и пароля для доступа к этой странице. Далее «запрос сертификата», «расширенный запрос сертификата», «Выдать запрос, используя base-64 шифрованный файл PKCS #10, или выдать запрос обновления, используя base-64 шифрованный файл PKCS #7.» Вставил содержимое файла mx.txt, шаблон сертификации веб-сервер, «выдать». Получил файл mx.cer.
    5.
    На MX в EMS выполнил:

    Import-ExchangeCertificate -Path d:\temp\mx.cer | Enable-ExchangeCertificate –Services IIS,SMTP
    На первый раз не получилось, была ошибка приватного ключа, точно не помню не записал. После все проверил еще раз, сертификат применился. В IIS проверил что стоит галочка SSL и 128 бит.шифр.

    Все вроде работает хорошо, Outlook подключается, через OWA внутри сети тоже все ок. А вот с подключением к OWA из вне. Вызывает ошибку сертификата, нельзя проверить центр сертификатов dir.

    Что я не так делаю? Или совсем все не так?

     

    спасибо

    5 марта 2009 г. 9:48
  • nickart написал:

    Спасибо большое за помощь!!!!!!!!
    Но я честно говоря шокирован тем что всегда думал к конечному результату можно прийти разными путями, а здесь все только через Exchange Management shell. Что-то в Microsoft опять перемудрили по-моему!!

    Ошибаетесь.

    Сертификат на несколько имён с закрытым ключом можно создать абсолютно без использования MS PowerShell, чисто через веб-интерфейс СА.

    1. Выполните на своём СА:
        certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

    2. Перезапустите службу сертификации

    3. Теперь при создании сертификатов через веб-интерфейс в поле аттрибутов можно добавлять дополнительные имена вот таким образом:

       SAN:DNS=commonname.domain.com&DNS=altname1.domain.com&DNS=altname2.domain.com

    ВАЖНО: На первом месте обязательно должно стоять основное имя субъекта.

    При просмотре полученного сертификата вы также заметите, что теперь раздел Дополнительные имена не помечен жёлтым флажком, все разделы зелёные.
    • Предложено в качестве ответа Konstantin Frantsev 5 марта 2009 г. 10:05
    5 марта 2009 г. 10:03
  • Rhamzes написал:

    Все вроде работает хорошо, Outlook подключается, через OWA внутри сети тоже все ок. А вот с подключением к OWA из вне. Вызывает ошибку сертификата, нельзя проверить центр сертификатов dir.

    Что я не так делаю? Или совсем все не так?

    Это нормально.

    Чтобы этого сообщения не было, нужно на клиенте добавить в список доверенных центров сертификации сертификат вашего СА.

    Когда выходит сообщение о невоозможности проверить сертификат на клиенте, нажмите Продолжить, затем нажмите вверху на Ошибка сертификата, откройте сертификат, Путь сертификации, станьте на корневой сертификат - это и есть сертификат вашего СА. Откройте его, затем сохраните в файл, затем проинсталлируйте с указанием папки назначения - в Доверенные.

    • Предложено в качестве ответа Konstantin Frantsev 5 марта 2009 г. 10:34
    5 марта 2009 г. 10:30
  • У меня скоро поедет крыша, не с чем я так долго еще не разбирался... (
    Начинаю приходить к мысли а нужен ли вообще этот сертификат... (

    Делал все то что было написано Вами выше и то что сам нарыл на разных форумах и в книгах, желаемого итога не получил.

    Создал я файл запроса *.req или *.txt с помощью EMS
    (не понимаю почему где-то пишут надо req а где-то txt, не все равно, файл то текстовый?)

    Как его правильно подписать и установит?? Как получить файл *.cer ??
    Вот тут у меня туман, я какой-то истины не понимаю.
    СА обязательно поднимать? На контролере домена или на сервере Екченджа (не является DC) лучше? Какое имя давать корню CA, или все равно?
    Когда ставился Экчендж, создался же сертификат без СА?

    Распишите по нуктам пожайлуста, дайте пинка моему мозгу...
    Чтобы бы Вы сделали в моем случае, если надо чтобы работал Outlook07 в локалке и OWA для удаленный пользователей.
    ISA нету, есть просто роутер каторый форвардить 25,80,443 порты на Экчендж.
    Снаружи mx.firma.ru, внутри mx или полное mx.dir.local.

    Если сразу все не рассказать, давайте по шагам...
    плиз...

    • Предложено в качестве ответа Rhamzes 6 марта 2009 г. 6:33
    5 марта 2009 г. 11:30
  • Rhamzes написал:

    У меня скоро поедет крыша, не с чем я так долго еще не разбирался... (
    Начинаю приходить к мысли а нужен ли вообще этот сертификат... (
    ...
    Если сразу все не рассказать, давайте по шагам...
    плиз...


    Ну почему же не рассказать? Очень даже можно...

    Итак, начнём.
    Нужен ли сертификат - Сертификат определенно нужен. Весь вопрос в том, каким образом его получать. Есть два пути: купить или сделать самоподписанный на своём СА.
    Если делать свой, а не покупать - нужно обязательно поднимать свой СА.
    Где можно разместить CA - Поднять CA можно на любом компе под управлением Win2000Server, Win2003Server  или Win2008Server, являющемся членом Вашего домена.
    Какое имя дать корню CA - Всё равно. Это имя будут видеть клиенты при просмотре сертификата Вашего веб-сервера. Пусть это имя как-то ассоциируется с Вашей организацией, если Вы этого хотите, или дайте ему имя, не имеющее никакого отношения к организации, - на Ваше усмотрение.
    Как правильно манипулировать файлами .req или .txt - Забудьте про файлы .req и файлы .txt как про страшный сон. Создавайте сертификаты предельно простым способом, - исключительно только через интерфейс Вашего локального CA. Почувствуйте себя человеком. Просто выполните приведенные ниже инструкции.

    Планирование сертификатов - Перед созданием сертификатов необходимо чётко определить, какие нужны сертификаты с какими именами и для каких служб. При этом необходимо помнить, что в Exchange для каждой из служб, кроме SMTP, можно назначить только ОДИН сертификат, и он при необходимости может (и должен) включать как внешние, так и внутренние имена. Например:
     - Сертификат для внешнего сетевого интерфейса, назначаемый для веб-прослушивателя, должен сожержать только внешние имена: mail.domain.ru, autodiscover.domain.ru и т.д.
     - Сертификат для внутреннего IIS с опубликованным OWA должен содержать внутреннее имя только в том случае, если планируется обеспечить доступ клиентов к OWA из внутренней сети. Внешнее имя -  соответственно, в случае, если нужно обеспечить доступ клиентов из внешней сети, и при этом не используется преобразование внешних запросов во внутренние. Например, такая функция есть в ISA 2006. Если в правиле публикации на вкладке КУДА снять соответствующую галку, то во всех запросах, попадающих под это правило публикации, имя mail.domain.ru будет автоматически заменяться на exchange.domain.local. Это значительно упрощает публикацию, в этом случае на внутренних серверах вообще не нужны сертификаты с внешними именами, а также не требуется объявлять эти внешние имена на внутренних DNS.
     - В Вашем конкретном случае необходимо создать сертификат для IIS, включающий имена, используемые для доступа к OWA из внутренней и из внешней сети. При желании можно вообще создать всего один сертификат, то есть объединить все DNS-имена всех служб в одном сертификате и затем назначить этот единственный сертификат для всех служб Exchange.
    * Отдельного внимания заслуживает вопрос публикации Anywhere. Часто внешнее имя domain.ru разрешается не в тот же IP-адрес, что и mail.domain.ru (или другое, указываемое в настройках MsOutlook-клиента в качестве прокси-сервера). Это те случаи, когда веб-сайт компании и почтовый домен размещены на разных хостингах. Здесь есть два варианта решения:
     - ВАРИАНТ1: Объявить в DNS и опубликовать внешнее имя autodiscover.domain.ru. В этом случае это внешнее имя обязательно должно присутствовать в сертификате для внешнего интерфейса. В сертификате для внутреннего IIS оно необходимо только в случае, если, если не используется преобразование запросов в ISA. Если ISA преобразует запросы, на внутренних DNS должно быть объявлено имя autodiscover.domain.local, а иначе - autodiscover.domain.ru, это имя должно разрешаться в IP-адрес внутреннего IIS.
     - ВАРИАНТ2: Произвести измения в записях DNS следующим образом. Узлу domain.ru присвоить IP-адрес почтового домена, на внутреннем DNS объявить имя www .domain.ru, указывающее на IP-адрес веб-сайта, размещённого на другом хостинге. После выполнения этих действий сервис Autodiscover будет доступен по своей "родной" ссылке domain.ru/autodiscover/autodiscover.xml.

    Установка локального СА и настройка его для выдачи сертификатов с дополнительными именами
    1. "Панель управления" - "Установка компонентов Windows", поставить галку "Службы сертификации", применить, далее при необходимости вставить CD с дистрибутивом.
    2. После завершения установки СА нажмите "Пуск" - "Выполнить" - "Cmd", скопируйте в командную строку и выполните вот эту строчку:
        certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
    3. Перезапустите службу сертификации

    Получение сертификатов через веб-интерфейс локального СА
    1. С компьютера, для которого запрашивается сертификат, зайдите на СА через интернет-обозреватель по ссылке: https://<CA-komp-name>/CertSrv. При этом не имеет значения, является ли компьютер, для которого запрашивается сертификат, членом домена.
    2. Для авторизации введите имя и пароль администратора.
    3. Далее идите по ссылкам: "Запрос сертификата" - "Расширенный запрос сертификата" - "Создать и выдать запрос к этому ЦС".
    4. Установите параметры запрашиваемого сертификата:
        - Шаблон сертификата: "Веб-Сервер"
        - Имя: укажите полное DNS-имя компьютера
        - Установите галку "Использовать локальное хранилище компьютера для сертификата"
        - Если нужно указать дополнительные DNS-имена, введите в поле "Аттрибуты" такую строку:
        SAN:DNS=commonname.domain.com&DNS=altname1.domain.com&DNS=altname2.domain.com ...
    ВАЖНО: На первом месте должно быть основное имя субьекта, то есть имя компьютера, которое указано в поле Имя. Основным именем, в свою очередь может быть как внешнее DNS-имя, так и внутреннее. Например, если запрашивается сертификат для веб-прослушивателя внешней сети - внешнее, если для веб-прослушивателя внутренней сети или для локального сервера - внутреннее имя. Всего имён может быть сколько угодно (в разумных пределах, лично я создавал сертификаты на 7 имён), каждое следующее имя в строке предваряется знаком "&".
    5. Нажмите кнопку "Выдать"
    6. Подтвердите запрос.
    7. Нажмите "Установить сертификат" - и он установится на компьютер.

    Просмотр сертификатов через PowerShell

    Зайдите в PowerShell и выполните командлет:
        Get-ExchangeCertificate
    Просмотрите все имеющиеся сертификаты и по их именам найдите среди них отпечатки тех, которые только что были созданы. Если есть сертификаты с совпадающими именами, то более свежий сертификат можно определить по отсутствию назначений либо сравнив их даты выдачи в консоли mmc.

    Просмотр сертификатов через консоль mmc
    Нажмите "Пуск" - "Выполнить" - "ммс", затем добавьте оснастку "Сертификаты" для учетной записи  комтьютера. Затем в дереве консоли раскройте "Личные". Чтобы просмотреть отпечаток ключа, нужно открыть интересующий сертификат и перейти на вкладку "Состав". В разделе "Дополнительные имена" можно проконтролировать правильность указанных дополнительных имён.

    Назначение сертификатов в Exchange (через Ms PowerShell)

        - для OWA:
        Enable-ExchangeCertificate -Thumbprint <отпечаток ключа> -Services IIS
        - для SMTP:
        Enable-ExchangeCertificate -Thumbprint <отпечаток ключа> -Services SMTP
        - для POP3:
        Enable-ExchangeCertificate -Thumbprint <отпечаток ключа> -Services POP
    * Отпечаток ключа необходимо вводить без пробелов, в том же виде, как он отображается командлетом Get-ExchangeCertificate. Удобно сначала выполнить Get-ExchangeCertificate, а уже затем с экрана копировать нужные отпечатки в строку параметров командлета Enable-ExchangeCertificate.

    ---------------------------------------------------
    Если эта инструкция помогла Вам - пусть она поможет и другим.
    Для этого нажмите в заголовке этого поста "Пометить как ответ"
    • Предложено в качестве ответа Konstantin Frantsev 6 марта 2009 г. 13:33
    6 марта 2009 г. 13:18
  • спасибо тебе добрый человек

    • Предложено в качестве ответа Rhamzes 10 марта 2009 г. 5:00
    10 марта 2009 г. 5:00
  • Сделал все как вы описали, сертификат был создан успешно с помощью вэб интерфейса локального СА. В выданных сертификатах СА он появился. Однако он не появился в сертификатах Exchange. командлет Get-ExchangeCertificate не показаывает новый добавленный сертификат в СА. Попробовал сохранить сертификат в файл из СА, а затем импортировать в Exchange, импорт вроде без ошибок, но в списке сертификатов Exchange его нету.
    Помогите пожалуйста, что не так делаю.


    P.S.Стоит Exchange 2007 SP1 на SBS 2008, там же развернут CA. OWA работает через самозаверяющийся сертификат Exchange

    shadow
    30 марта 2009 г. 19:38
  • Сделал все как вы описали, сертификат был создан успешно с помощью вэб интерфейса локального СА. В выданных сертификатах СА он появился. Однако он не появился в сертификатах Exchange. командлет Get-ExchangeCertificate не показаывает новый добавленный сертификат в СА. Попробовал сохранить сертификат в файл из СА, а затем импортировать в Exchange, импорт вроде без ошибок, но в списке сертификатов Exchange его нету.
    Помогите пожалуйста, что не так делаю.


    P.S.Стоит Exchange 2007 SP1 на SBS 2008, там же развернут CA. OWA работает через самозаверяющийся сертификат Exchange

    shadow
    Новый сертификат виден в консоли в папке сертификатов компьютера? Если нет - значит при его создании не поставили галку "Использовать локальное хранилище..." Сертификат был правильно создан, но помещён в папку сертификатов пользователя, его просто нужно переместить оттуда в папку сертификатов компьютера. Это можно сделать прямо в консоли.
    • Предложено в качестве ответа Konstantin Frantsev 1 апреля 2009 г. 6:52
    1 апреля 2009 г. 6:45
  • а Если развернуть Вариант 1? Решить вопрос сначала с разделением ДНС.
    http://itdoc.com.ua/2009/02/podderzhka-zashhity-seti-s-pomoshhyu-isa-server-pri-ispolzovanii-nedopustimyx-imen-domenov-verxnego-urovnya-nado-razdelit-dns/
    тогда не надо парится с кучей сертификатов.
    и если задействуете сторонний центр сертификации, то вообще будет счастье. что снаружи заходи, что изнутри.
    30 ноября 2009 г. 13:55
  • а Если развернуть Вариант 1? Решить вопрос сначала с разделением ДНС.
    http://itdoc.com.ua/2009/02/podderzhka-zashhity-seti-s-pomoshhyu-isa-server-pri-ispolzovanii-nedopustimyx-imen-domenov-verxnego-urovnya-nado-razdelit-dns/
    тогда не надо парится с кучей сертификатов.
    и если задействуете сторонний центр сертификации, то вообще будет счастье. что снаружи заходи, что изнутри.
    Одним сертификатом, конечно, можно обойтись. В достаточно простом случае.
    А вот если, например, два подключения к интернету? Тогда для каждого отправляющего соединителя нужен сертификат с основным именем, совпадающим с именем компа и с именем A-записи в DNS.
    30 ноября 2009 г. 14:02
  • спасибо за инструкцию!
    кое-чего проясняется на базе общих знаний про ЦС и вашей инструкции :)
    возник вопрос:
    все сертификаты, выданные подобным образом(вручную), имеют ограниченное время пользования.
    продляются они так же вручную, как я понимаю? или иначе?
    20 января 2010 г. 16:55
  • спасибо за инструкцию!
    кое-чего проясняется на базе общих знаний про ЦС и вашей инструкции :)
    Ну так проголосуйте же за полезное сообщение - нажмите зеленый стрелочка!
    возник вопрос:
    все сертификаты, выданные подобным образом(вручную), имеют ограниченное время пользования.
    продляются они так же вручную, как я понимаю? или иначе?
    По дефолту все эти сертификаты обновляются автоматически. По истечении их срока действия автоматом формируется запрос к CA на обновление. Если, конечно, вы не заменили дефолтный шаблон "Web-сервер" и не указали там требование повторного запроса на обновление.

    Не имеют возможности самостоятельного обновления самоподписанные сертификаты, которые Exch формирует сам при установке, - вот их рекомендуется заменять хотя бы на сертификаты от локального СА.
    21 января 2010 г. 6:57
  • По дефолту все эти сертификаты обновляются автоматически. По истечении их срока действия автоматом формируется запрос к CA на обновление. Если, конечно, вы не заменили дефолтный шаблон "Web-сервер" и не указали там требование повторного запроса на обновление.
    1. при доступе через OWA сетрификат, по истечении его срока, нужно будет внешнему клиенту устанавливать вручную снова к себе на комп.
    правильно я понимаю? (в случае внутреннего ЦС) как то можно эту процедуру автоматизировать (без привличения сторонних ЦС)?
    момент тут серьезный, т.к. при просроченном сертификате(OWA) на внешнем клиенте(если просроченный сертификат был ранее установлен в локальное хранилище) уже будет нельзя зайти в почту. а заранее, внешнему клиенту, предупреждение об окончании срока сертификата вроде не делается. хочется упростить жизнь внешним клиентам.
    2. при публикации сервисов Exchange 2007 на ISA 2006, например OWA, на сервере с ISA 2006 нужно вручную импортировать экспортный вариант сертификата в локальное хранилище. тут тоже сроки ограничены, а автообновления нет. в этом случае можно что-то сделать? (сервер с ISA 2006 включен в домен)

    Не имеют возможности самостоятельного обновления самоподписанные сертификаты, которые Exch формирует сам при установке, - вот их рекомендуется заменять хотя бы на сертификаты от локального СА.
    посоветуйте что-нибудь толковое почитать именно на эту тему.
    а то информации море, голова кругом, информация в голове по полкам все никак не разложится :)

    21 января 2010 г. 9:30
  • 1. при доступе через OWA сетрификат, по истечении его срока, нужно будет внешнему клиенту устанавливать вручную снова к себе на комп.
    правильно я понимаю? (в случае внутреннего ЦС) как то можно эту процедуру автоматизировать (без привличения сторонних ЦС)?
    момент тут серьезный, т.к. при просроченном сертификате(OWA) на внешнем клиенте(если просроченный сертификат был ранее установлен в локальное хранилище) уже будет нельзя зайти в почту. а заранее, внешнему клиенту, предупреждение об окончании срока сертификата вроде не делается. хочется упростить жизнь внешним клиентам.
    Обычно внешним OWA-клиентам на комп устанавливается только КОРНЕВОЙ сертификат ЦС, для обеспечения доверия веб-узлу, на котором опубликован OWA. Если речь об этом сертификате - то он элементарно устанавливается тремя кликами: при входе на страницу - вручную подтверждается доверие сертификату, затем сверху открывается сертификат, достается корень и устанавливается в доверенные.
    Если же у вас к тому же клиентам выдаются сертификаты для аутентификации - тогда, опять же все зависит от, того как в ЦС настроен шаблон, используемый для запроса сертификата клиента. Если он поддерживает автоматическое обновление - все будет ок. При другой политике - если сертификат автоматом не обновляется - обычно наряду с /OWA публикуют также /CertSrv - чтобы предоставить клиенту возможность сформировать и отправить запрос на сертификат.

    2. при публикации сервисов Exchange 2007 на ISA 2006, например OWA, на сервере с ISA 2006 нужно вручную импортировать экспортный вариант сертификата в локальное хранилище. тут тоже сроки ограничены, а автообновления нет. в этом случае можно что-то сделать? (сервер с ISA 2006 включен в домен)
    В этом случае лучше обойтись без экспортирования сертификата. При публикации сервисов Exchange 2007 на ISA это возможно.

    посоветуйте что-нибудь толковое почитать именно на эту тему.
    а то информации море, голова кругом, информация в голове по полкам все никак не разложится :)
    Здесь два варианта:
    1. Самостоятельно собирать, проверять и раскладывать информацию по полкам, и затем для других писать инструкции на форумах.
    2. Ждать пока это сделает кто-нибудь другой.
    21 января 2010 г. 10:52
  • 2. при публикации сервисов Exchange 2007 на ISA 2006, например OWA, на сервере с ISA 2006 нужно вручную импортировать экспортный вариант сертификата в локальное хранилище. тут тоже сроки ограничены, а автообновления нет. в этом случае можно что-то сделать? (сервер с ISA 2006 включен в домен)
    В этом случае лучше обойтись без экспортирования сертификата. При публикации сервисов Exchange 2007 на ISA это возможно.
    возможно? очень интересно :) все что я читал по этому вопросу - везде пишут, про вручнуую.
    может я не то читал?
    21 января 2010 г. 12:24
  • возможно? очень интересно :) все что я читал по этому вопросу - везде пишут, про вручнуую.
    может я не то читал?
    У меня успешно опубликованы все службы без экспортирования сертификатов.
    Просто подумайте:
    Q: - Для чего ISA-серверу нужен сертификат OWA, который экспортируется с IIS?
    A: - Чтобы он представлялся от имени  внутреннего сервера.
    Q: - Что нужно сделать, чтобы избавить его от такой необходимости?
    A: - А нужно несколько изменить стандартное (созданное мастером) правило публикации - отменить пересылку исходных заголовков, настроить делегирование проверки подлинности...
    21 января 2010 г. 14:36
  • У меня успешно опубликованы все службы без экспортирования сертификатов.
    Просто подумайте:
    Q: - Для чего ISA-серверу нужен сертификат OWA, который экспортируется с IIS?
    A: - Чтобы он представлялся от имени  внутреннего сервера.
    Q: - Что нужно сделать, чтобы избавить его от такой необходимости?
    A: - А нужно несколько изменить стандартное (созданное мастером) правило публикации - отменить пересылку исходных заголовков, настроить делегирование проверки подлинности...
    очень интересно :) спасибо за направление поиска....
    а может ссылку какую дадите на мануал про настройку именно такого правила публикации на ISA ?
    21 января 2010 г. 18:20
  • очень интересно :) спасибо за направление поиска....
    а может ссылку какую дадите на мануал про настройку именно такого правила публикации на ISA ?
    Cовсем не хотят думать... А ведь все так просто:
    1. Настроить раздельный DNS - об этом много написано, внешнее имя узла должно разрешаться в IP-адрес ISA
    2. Публиковать ресурсы только под ВНЕШНИМ именем узла, - и во внутреннюю сеть тоже. Тогда ISA-серверу не нужно будет прикидываться внутренним.
    3. Делегировать проверку подлинности.
    4. В правиле публикации настроить преобразование ссылок и отключить пересылку исходных запросов. После этого веб-запросы, передаваемые от ISA на Exchange, будут в точности в том же виде, как будто это запросы от внутренних клиентов.
    5. В консоли Exchange указать внутреннее имя узла и для внутренних, и для внешних клиентов.
    21 января 2010 г. 20:31
  • Cовсем не хотят думать... А ведь все так просто:
    1. Настроить раздельный DNS - об этом много написано, внешнее имя узла должно разрешаться в IP-адрес ISA
    2. Публиковать ресурсы только под ВНЕШНИМ именем узла, - и во внутреннюю сеть тоже. Тогда ISA-серверу не нужно будет прикидываться внутренним.
    3. Делегировать проверку подлинности.
    4. В правиле публикации настроить преобразование ссылок и отключить пересылку исходных запросов. После этого веб-запросы, передаваемые от ISA на Exchange, будут в точности в том же виде, как будто это запросы от внутренних клиентов.
    5. В консоли Exchange указать внутреннее имя узла и для внутренних, и для внешних клиентов.
    думать хотят ;)
    1. раздельный ДНС настроен. НО внешнее имя узла разрешается в IP сервера Exchange (не ISA)
    2. понятно
    3. с делегированием - читал, но не совсем понятна терминология, ну да ладно - разберемся.
    4. не помню, но вроде Шиндер Т, был против пересылки исходных запросов на внутренний Exchange, надо уточнить.
    5. схема работы простая: SRV01 (ISA) - SRV02 (Exchange2007). если имени узла назначить внутреннее имя для внешних клиентов,
    то по команде telnet mail.company.ru 25 Exchange будет представляться внутренним именем.
    а это будет неадекватно интрепретироваться внешними SMTP-серверами, которые проверяют обратную зону ДНС... правильно?
    22 января 2010 г. 8:35
  • 5. схема работы простая: SRV01 (ISA) - SRV02 (Exchange2007). если имени узла назначить внутреннее имя для внешних клиентов,
    то по команде telnet mail.company.ru 25 Exchange будет представляться внутренним именем.
    а это будет неадекватно интрепретироваться внешними SMTP-серверами, которые проверяют обратную зону ДНС... правильно?
    Exchange будет представляться именем, заданным в получающем соединителе. А в соединителях имена не меняем. Меняем только в "Настройка серверов" - "Клиентский доступ", везде где задается внутренний и внешний URL-адрес. Хотя я даже подозреваю, что этот шаг не обязателен все будет работать и без замены имен в Exchange. Надо будет как-нибудь выбрать время, проверить...
    22 января 2010 г. 9:29
  • Exchange будет представляться именем, заданным в получающем соединителе. А в соединителях имена не меняем. Меняем только в "Настройка серверов" - "Клиентский доступ", везде где задается внутренний и внешний URL-адрес. Хотя я даже подозреваю, что этот шаг не обязателен все будет работать и без замены имен в Exchange. Надо будет как-нибудь выбрать время, проверить...
    я понял вашу мысль :) , что имя меняем только для клиентского доступа, в каждом его варианте.
    т.е. именно для клиентов, а не внешних отправителей.
    22 января 2010 г. 9:46
  • Получение сертификатов через веб-интерфейс локального СА
    1. С компьютера, для которого запрашивается сертификат, зайдите на СА через интернет-обозреватель по ссылке: https://<CA-komp-name>/CertSrv. При этом не имеет значения, является ли компьютер, для которого запрашивается сертификат, членом домена.
    2. Для авторизации введите имя и пароль администратора.
    3. Далее идите по ссылкам: "Запрос сертификата" - "Расширенный запрос сертификата" - "Создать и выдать запрос к этому ЦС".
    4. Установите параметры запрашиваемого сертификата:
        - Шаблон сертификата: "Веб-Сервер"
        - Имя: укажите полное DNS-имя компьютера
        - Установите галку "Использовать локальное хранилище компьютера для сертификата"
        - Если нужно указать дополнительные DNS-имена, введите в поле "Аттрибуты" такую строку:
        SAN:DNS=commonname.domain.com&DNS=altname1.domain.com&DNS=altname2.domain.com ...
    ВАЖНО: На первом месте должно быть основное имя субьекта, то есть имя компьютера, которое указано в поле Имя. Основным именем, в свою очередь может быть как внешнее DNS-имя, так и внутреннее. Например, если запрашивается сертификат для веб-прослушивателя внешней сети - внешнее, если для веб-прослушивателя внутренней сети или для локального сервера - внутреннее имя. Всего имён может быть сколько угодно (в разумных пределах, лично я создавал сертификаты на 7 имён), каждое следующее имя в строке предваряется знаком "&".
    5. Нажмите кнопку "Выдать"
    6. Подтвердите запрос.
    7. Нажмите "Установить сертификат" - и он установится на компьютер.

    возвращаюсь к данному вопросу по сертификатам. СА установлен на Win 2003 Server SP2 x64, с этого же сервера (т.е. локально) и захожу через вэб на СА. застрял на п.4,

        - Установите галку "Использовать локальное хранилище компьютера для сертификата"

    нету такой галки. где ее взять?

    кстати еще галку "Пометить ключ как экспортируемый" нельзя поставить, если выбираю шаблон "Веб-сервер".

    6 июня 2010 г. 16:13
  • Привет всем!! ребят, помогите!! прочитал всю ветку! все сделал как написано! обновил сертификат...а аутлук все равно ругается :( его нужно импортировать рукми в доверенные центры сертификатов на клиентских машинах? если да, это не помогает :(
    16 июня 2010 г. 15:11
  • А у меня нет выбора шаблона сертификата при запросе. :(

    Может ли это быть связано с тем, что ЦС изначально установлен не верно и нужно переустановить? Или просто не хватает каких-то настроек?

    25 января 2011 г. 10:02