none
Не устанавливается сертификат на Exchange2013 RRS feed

  • Вопрос

  • Добрый день.

    В организации 2 CAS-сервера (CAS1 и CAS2) + 2 MBX.

    Поднял 3-ий MBX. (Ошибок не было, всё штатно).

    На старых почтовых серверах стоит сертификат (выпущенный локальным ЦС), у которого срок действия истекает через полгода. Решил заодно обновить сертификат на всех серверах. Сделал запрос с одного из серверов CAS (CAS2), выпустил сертификат. Он нормально встал на этот сервер, с которого делался запрос. При попытке поставить этот сертификат на любой другой почтовый сервер (например на CAS1 через импорт) вылезает ошибка:

    "На сервере CAS1 возникает характерная для Rpc ошибка: Не удается импортировать сертификат. Сертификат с отпечатком BB7F1410C603E5DC15726B13DC2FFC3D442BF895 уже существует."

    И так на каждом почтовом сервере. Я помню когда поднимал только Exch2013 и потом перевыпускал сертификаты (т.к. истек уже срок действия) всё было нормально. Запрос делал с одного из CAS-ов и ставился этот сертификат нормально на все почтовые сервера. А сейчас что, надо делать запрос и выпукать сертификат для каждого сервера? Или ждать, когда истечет срок действия установленных сертификатов? Но на CAS2 сертификат-то установился нормально: спросил перезаписать существующий сертификат? Ответил "Да" и новый номально прицепился.

    При попытке удаления действующего сертификата с любого другого сервера говорит, что сначала надо привязать новый сертификат, а потом удалить старый.

    Что-то как-то не хочется для каждого сервера выпускать свой сертификат. Подскажите, пожалуйста, что делаю не так?

    22 ноября 2018 г. 7:35

Ответы

  • Попробуйте экспортировать сертификат с того сервера, на котором его получали. Экспорт надо делать через оснастку Сертификаты, а не через EAC. Не забывайте, что экспортируемый сертификат должен содержать закрытый ключ (просит установить пароль при попытке экспорта), иначе не взлетит. 

    После этого назначайте сертификат через ecp нужным серверам

    • Помечено в качестве ответа Nikos2012 22 ноября 2018 г. 10:15
    22 ноября 2018 г. 8:26
  • Не понимаю как вы импортируете. Надо также через оснастку Сертификаты, а не через eac. Ну да ладно.

    В чем проблема удалить сертификат с этим отпечатком? https://practical365.com/exchange-server/remove-ssl-certificate-exchange-server-2013/

    • Помечено в качестве ответа Nikos2012 22 ноября 2018 г. 10:15
    22 ноября 2018 г. 9:52

Все ответы

  • Попробуйте экспортировать сертификат с того сервера, на котором его получали. Экспорт надо делать через оснастку Сертификаты, а не через EAC. Не забывайте, что экспортируемый сертификат должен содержать закрытый ключ (просит установить пароль при попытке экспорта), иначе не взлетит. 

    После этого назначайте сертификат через ecp нужным серверам

    • Помечено в качестве ответа Nikos2012 22 ноября 2018 г. 10:15
    22 ноября 2018 г. 8:26
  • Попробовал. Такая же ошибка. Сертификат с таким отпечатком уже есть.

    (Причем, если экспорьтровать с закрытым ключом, то файл получается .pfx. А при импорте через ecp он говорит, что выберите файл .cer Но если указать всё равно .pfx - он проглатывает, но выдает ту же самую ошибку.)

    Если экспортировать без закрытого ключа, то экспортируется в файл .cer

    Но с тем же отрцательным результатом при импорте.

    22 ноября 2018 г. 9:03
  • Не понимаю как вы импортируете. Надо также через оснастку Сертификаты, а не через eac. Ну да ладно.

    В чем проблема удалить сертификат с этим отпечатком? https://practical365.com/exchange-server/remove-ssl-certificate-exchange-server-2013/

    • Помечено в качестве ответа Nikos2012 22 ноября 2018 г. 10:15
    22 ноября 2018 г. 9:52
  • Поэспериментировал. Нашел ответ.

    Надо сделать экспорт (независимо через ecp или из оснастки), а вот импортировать надо через оснастку. После этого он появится в ecp и назначить службам.

    Egor Vasilev, спасибо за наводку!

    Да, сначала я импортировал через eac. Не получалось. А потом, когда импортировал через оснастку, всё встало на свои места.

    Просто не понял сначала, что импорт тоже через остнастку делать надо.

    Ну хоть сделать всё и получилось, интересует поведение Exchange. Это разве нормально, что через eac нельзя импортировать сертификат на другие почтовые сервера?

    Или считать, что это глюк?

    • Изменено Nikos2012 22 ноября 2018 г. 10:23
    22 ноября 2018 г. 10:01
  • Рад, что все получилось.

    По идее все это можно было сделать через eac, но странно, что у вас не получилось. Может быть глюк, может быть браузер "не тот". В любом случае я предпочитаю админить эксч через ems, а общесистемные задачи (например управление сертификатами) выполнять через нативные инструменты типа mmc.

    22 ноября 2018 г. 10:29