none
Куда отправлять запрос на новый сертификат??? RRS feed

  • Вопрос

  • По умолчанию после установки Exchange создаётся самозаверенный сертификат для сулжб SSL и TLS.

    Теперь есть необходимость создать единый сертификат для раздах DNS имен сервера, т.е. добавить другие имена сервера в атрибут альтернативных имён.

    По доке это делается так:

    Настройка SSL-сертификатов для использования нескольких имен узлов серверов «Клиентский доступ»

    1. С помощью командлета New-ExchangeCertificate создайте файл запроса сертификата.

    2. Отправьте этот файл в центр сертификации служб сертификации Windows и воспользуйтесь шаблоном веб-сервер на странице Центр сертификации. Это приведет к .cer-файлу, который можно импортировать на сервер «Клиентский доступ».

    3. С помощью командлета Get-ExchangeCertificate определите отпечаток@@@ для вашего сертификата.

    4. После импортирования сертификата, его можно назначить для IIS, IMAP4 и POP3 с пмощью командлетаUpdate-ExchangeCertificate.

    Файл запроса я создал, а куда теперь его отсылать?? чтобы получить *.cer файл??

    Понятно что в Центр сертификации службы сертификатов Microsoft Windows, но где это? )
    • Перемещено Hengzhe Li 18 марта 2012 г. 7:36 forum merge (От:Exchange Server 2007)
    25 апреля 2007 г. 6:23

Ответы

  • Это где-то у Вас в сети. Впрочем, если Вы не поднимали CA, то у Вас его, очевидно, нет.

    =)

    Сервер CA является одним из стандартных компонентов Windows Server. О его развертывании и использовании много написано здесь.

    • Помечено в качестве ответа Vinokurov Yuriy 26 августа 2009 г. 9:21
    25 апреля 2007 г. 7:05

Все ответы

  • Это где-то у Вас в сети. Впрочем, если Вы не поднимали CA, то у Вас его, очевидно, нет.

    =)

    Сервер CA является одним из стандартных компонентов Windows Server. О его развертывании и использовании много написано здесь.

    • Помечено в качестве ответа Vinokurov Yuriy 26 августа 2009 г. 9:21
    25 апреля 2007 г. 7:05
  • в своей сети не подымал CA, неужели ради этого его стоит подымать?

    а разве в инете нету ,безплатных контор где можно получить SSL-сертификат?

    25 апреля 2007 г. 7:37
  • Есть. И куча. Стоит от 120$ в год, если мне память не изменяет. Например www.verysign.com. Просто наличие в сети CA дает много других бонусов, которые, Вам, впрочем, могут и не понадобиться.
    25 апреля 2007 г. 7:54
  • На второй день поисков, вот нашел контору https://cert.startcom.org

    которая это бесплатно делает.

    25 апреля 2007 г. 8:02
  • Вы желаете безопасно или дешево? Я вот сразу увидел, что у них нет в точке публикации CRL этих, собственно CRL. Не думаю, что это хороший выбор. Хотя дело, конечно Ваше.

     

    25 апреля 2007 г. 8:12
  • желаю и безопасно и дешево Smile

    А какой тгда ещё вариант?

    Установить локальный CA ?

    25 апреля 2007 г. 9:37
  • Помните одну из любимых присказок продавцов всех мастей?

    "Мы можем обслужить Вас

    1) быстро

    2) качественно

    3) дешево

    Выберите любые два пункта"

    Локальный CA вполне вариант, если пользоваться Вашим сервисом будут только Ваши пользователи. Но неправильно установленный CA это дешево, но совсем не безопасно =)

     

    25 апреля 2007 г. 9:43
  • Спасибо. Будем думать.
    25 апреля 2007 г. 9:58
  • Учтите, что Вы хотите не просто сертификат, а сертификат с поддержкой Subject Alternative Names. На сегодня, имхо, лучший публичный вариант - это Entrust Exchange 2007 Certificate Package.

    http://msexchangeteam.com/archive/2007/02/19/435472.aspx

    http://www.entrust.net/ssl-certificates/unified-communications.htm 

    Ну или можно установить собственный CA и сгенерировать сертификат там за бесплатно. Поимеете несколько серьезных проблем, например с тем, что certification authority не будет пристуствовать в списке trusted root. Но все решабельно.

    28 апреля 2007 г. 0:01
  • Наличие Certification Authority в локальной сети - вполне нормальная практика. И как правило, такая CA является основой pki в организации.

    Если автору интересно, то здесь также можно найти ответы на интересующие вопросы

    Public Key Infrastructure for Windows Server 2003

    29 апреля 2007 г. 7:13
  • Не дождался я сертификата от StartCom Free SSL Project, и поднял свой внутрений СА.

    Сгенерил на нём сертификат: certreq -attrib "CertificateTemplate:WebServer" -submit d:\certrequest_exchange.txt

    Полученный exchange_new.cer,  зарегил на сервере EXCHANGE:

    Import-ExchangeCertificate -path c:\exchange_new.cer -friendlyname "domain.ua" | enable-exchangecertificate -services "IIS,POP,IMAP"

     

    Теперь вопрос: все тут указывали на то что собственный СА это не совсем безопасно. Объясните плиз поподробней в чём его небезопасность и как его сделать безопасным???

    30 апреля 2007 г. 10:28
  • никто не говорил что "собственный СА это не совсем безопасно". Все нормально, можете и дальше продолжать его использовать.

    Максимум что имелось ввиду, то что ваши сертификаты с private CA не будут доверенными в других организацияхи и нтернете, но это не серьезная неприятность. С нужными компаниями можно установить CA trust и дело в шляпе.

    Хотите повысить уровень безопасности на своем сервере CA - проведите там настройку Security Configuration Wizard.

    • Предложено в качестве ответа MsExchange 17 февраля 2009 г. 20:00
    30 апреля 2007 г. 13:26
  •  solaris24 написано:

    Не дождался я сертификата от StartCom Free SSL Project, и поднял свой внутрений СА.

    Сгенерил на нём сертификат: certreq -attrib "CertificateTemplate:WebServer" -submit d:\certrequest_exchange.txt

    Полученный exchange_new.cer,  зарегил на сервере EXCHANGE:

    Import-ExchangeCertificate -path c:\exchange_new.cer -friendlyname "domain.ua" | enable-exchangecertificate -services "IIS,POP,IMAP"

    В результате как минимум Autodiscovery у Вас работать не будет.

    Я уже писал, что для генерации сертификата нужно использовать New-ExchangeCertificate и запрашивать SAN для сертификата. И ссылки приводил.

    30 апреля 2007 г. 16:14
  • Здравствуйте.

    У меня вот такая проблемма с запросом сертификата обозначилась.

    Когда делаю запрос сертиката для собственного СА для службы IIS

    ( http://blogs.technet.com/technetczsk/archive/2006/10/19/exchange-2007-tip-2-vygenerov-n-jednoho-ssl-certifik-tu-pro-n-kolik-jmen.aspx)

     

    New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=mail.contoso.com" -domainname E12SRV,E12SRV.contoso.com,mail.contoso.com,autodiscover.contoso.com -path c:\certrequest.txt

     

    Добавляю в параметрах запроса в параметрах запроса значения -KeySize 1024, то запрос все равно генерится с 2048 ключом.

    Что делать не знаю, Help.

     

    Еще хотелось бы узнать, насколько приемлемо генерить сертификаты для служб Exchange 2007 в самом Exchange,не создавая собственного CA?

     (примерно вот так: New-ExchangeCertificate  -domainname mail.contoso.msft,autodiscover.contoso.msft,myserver,myserver.internal.contoso.msft -FriendlyName mail.contoso.msft -privatekeyexportableEmbarrassedtrue -KeySize 1024)