none
Выдать сертификат по запросу RRS feed

  • Общие обсуждения

  • Добрый день!

    Есть 2008 r2, на нем CA. Не нахожу на сервере IIS, поэтому пытаюсь выдать сертификат по запросу Exchange (файлик .req). По CA\все задачи\выдать новый запрос и подсовываю файлик. Никаких уведомлений не выдается - просто вижу в выданных сертификатах новый сертификат (на неделю всего выдан кстати, как выдать на пару лет?). Но как его скачать? чтоб потом на эксчендже удовлетворить запрос и подсунуть ему уже сертификат?

    Подскажите плиз

    12 марта 2018 г. 7:17

Все ответы

  • Запрашивайте через mmc-консоль Сертификаты
    12 марта 2018 г. 10:25
  • Запрашивайте через mmc-консоль Сертификаты
    А это как? на эксчендже через mmc делать запрос для конкретных служб эксченджа или на CA через MMC выдавать сертификат? не делал так ни разу еще
    12 марта 2018 г. 11:04
  • Замена сертификата на Exchange без IIS

    Закончился сертификат. Сделали запрос на продление этого же сертификата из оснастки exchange\server\сертификаты и получили на выходе файлик c:\1.req. ВАЖНО! Его нужно пересохранить кодировке ANSI и потом скормить центру сертификации (который имеет шаблон выдачи сертификатов web серверу). Мы делали утилитой, так как IIS нет на CA. Была еще проблема, что у самого CA сертификат просрочился. Выдали ему и заработало. Писал ошибку, что время сертификата истекло или еще не наступило.

     

    certreq -Submit -attrib "CertificateTemplate:Webserver" c:\1.req c:\outfile_1.cer

    Политика регистрации Active Directory

      {E88B0170-443B-4738-9149-0AD720410F77}

      ldap:

    Код запроса (RequestId): 3305

    Код запроса: "3305"

    Получен сертификат(Выдан) Выдан

     

    Далее этот сертификат c:\outfile_1.cer подсовываем запросу на эксчендже и заработало. Привязали службы. Сначала не работало, так как не обновилась инфа о CA, и через пару минут буквально уже ок. Правда появился второй сертификат (есть вероятность, что после того, как CA заработал - он автоматически выдал серт эксченджу). Сейчас два сертификата в итоге

    19 марта 2018 г. 11:47
  • Вам нужно выпустить сертификат по шаблону WebServer.

    1. Создаете текстовый файл req.txt следующего содержания:

    [NewRequest]
    Subject = "CN=exchangeserver01" ;CN=имя сервера Exchange
    Exportable = TRUE
    KeyLength = 2048
    KeySpec = 1
    KeyUsage = 0xA0
    MachineKeySet = True
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = CMC
    [RequestAttributes]
    CertificateTemplate = WebServer
    SAN="dns=exchangeserver01&dns=exchangeserver01.corp.local" ;перечисляете возможные имена сервера, типично это симпл и fqdn

    2. Подключаетесь на сервер, где у Вас распологается ЦС. Запускаете с повышенными правами консоль cmd.exe. Пишите команду: certreq -new. Указываете текстовый файл req.txt. У Вас создастся файл запроса к ЦС *.req (например request.req)

    3. В консоли вызываете команду certreq , указываете путь до request.req , получаете сертификат *.crt, можете из консоли mmc добавить оснастку центра сертификации, выбрать цс, выпущенные сертификаты и там в списке найти сертификат и экспортировать его с закрытым ключом в формате pfx.

    Обычно шаблон веб-сервера выдается на 2 года. Если у Вас настроено иначе (1 неделя), то можно скопировать и внести изменения.

    Для этого в оснастке mmc добавить ЦС, щелкнуть правой кнопкой по Certificate Templates -> Manage. Найти там шаблон Web Server , щелкнуть по нему правой кнопкой -> dublicate, придумываете название и на вкладке General указываете время валидности.

    Повторяете выпуск сертификата как я указывал выше.

    Если запрос выпуска сертификата выполняется не на сервере ЦС, то надо проверить наличие флага на сервере ЦС EDITF_ATTRIBUTESUBJECTALTNAME2 (сертификат SAN), для этого надо выполнить в cmd certutil -getreg policy\EditFlags . Если флага нет, то выполнить certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 и перезапустить службу Net stop certsvc | Net start certsvc

    Надеюсь, помог ))

    6 апреля 2018 г. 13:26
  • Всем спс, проблема была в том что выдающий ЦС сам уже был с просроченным сертификатом. 

    Выдали ему, затем уже и запрос эксченджа смог обработать