none
Создание сертификатов MS Exchange 2010 RRS feed

  • Вопрос

  • Здравствуйте. Решил навести порядок с сертификатами MS Exchange 2010, которых в списке сертификатов Exchange, по-моему, слишком много, и к многим из них нет доверия:

    Подскажите, пожалуйста, сколько должно быть сертификатов в этом списке? Должно ли быть ко всем этим сертификатам доверие? Могу ли я удалить дублирующие сертификаты? Можно ли удалить все сертификаты в этом списке и заново сгенерировать минимальное и достаточно необходимое их количество, и по какому алгоритму?

    Насколько я понимаю, для правильного создания и обновления сертификатов требуется роль "Веб-служба регистрации сертификатов", которая не была установлена на сервере. При установке этой роли остановился на шаге "Выбор сертификата проверки подлинности сервера для SSL-шифрования":

    Список существующих сертификатов для шифрования SSL большой, ко многим из них нет доверия. Как вы думаете, не лучше ли будет создать сертификат для шифрования SSL, выбрать и назначить его позже? Какой алгоритм создания сертификата для шифрования SSL? Спасибо.

    В организации есть клиенты, которые работают с почтой Exchange удалённо по Anywhere. Очень часто у таких клиентов при заходе в MS Outlook появляется окно о неправильности сертификата, хотя ещё вчера такого не было. Сертификат действителен, и был сгенерирован через Exchange Management Shell командой New-ExchangeCertificate. Поэтому и захотелось найти причину. Начал с наведения порядка с сертификатами.

    • Изменено Constantinoff 10 июля 2014 г. 5:52 Дополнение
    10 июля 2014 г. 5:18

Ответы

  • Насколько я понимаю, для правильного создания и обновления сертификатов требуется роль "Веб-служба регистрации сертификатов", которая не была установлена на сервере.

    Неверно. Эта служба нужна для другого. Для получения сертификатов достаточно службы роли Certification Authority.

    Могу ли я удалить дублирующие сертификаты?

    Не стоит. Есть они не просят, а удалить можно что-то нужное.

    Должно ли быть ко всем этим сертификатам доверие?

    Большинство сертификатов используются лишь для шифрования транспортного уровня при сетевом взаимодействии серверов CAS и MailBox. К ним доверие необязательно, они вполне могут быть самоподписанными.

    Если вы говорите о сертификатах, используемых при обращении клиентов к CAS, то тут ситуация иная. Здесь доверие уже требуется, такие сертификаты проверяются клиентом на валидность.

    Сертификат действителен, и был сгенерирован через Exchange Management Shell командой New-ExchangeCertificate

    Этот командлет умеет как генерировать самоподписанные сертификаты, так и запрашивать сертификат у CA. Поясните, какой вариант у вас?

    Если клиенты ругаются на сертификат, то начинать надо с проверки сертификата на клиентской машине. Не надо сразу курочить Exchange. 


    Microsoft Certified Doing Nothing Expert

    • Помечено в качестве ответа Constantinoff 11 июля 2014 г. 4:14
    10 июля 2014 г. 7:17

Все ответы

  • Насколько я понимаю, для правильного создания и обновления сертификатов требуется роль "Веб-служба регистрации сертификатов", которая не была установлена на сервере.

    Неверно. Эта служба нужна для другого. Для получения сертификатов достаточно службы роли Certification Authority.

    Могу ли я удалить дублирующие сертификаты?

    Не стоит. Есть они не просят, а удалить можно что-то нужное.

    Должно ли быть ко всем этим сертификатам доверие?

    Большинство сертификатов используются лишь для шифрования транспортного уровня при сетевом взаимодействии серверов CAS и MailBox. К ним доверие необязательно, они вполне могут быть самоподписанными.

    Если вы говорите о сертификатах, используемых при обращении клиентов к CAS, то тут ситуация иная. Здесь доверие уже требуется, такие сертификаты проверяются клиентом на валидность.

    Сертификат действителен, и был сгенерирован через Exchange Management Shell командой New-ExchangeCertificate

    Этот командлет умеет как генерировать самоподписанные сертификаты, так и запрашивать сертификат у CA. Поясните, какой вариант у вас?

    Если клиенты ругаются на сертификат, то начинать надо с проверки сертификата на клиентской машине. Не надо сразу курочить Exchange. 


    Microsoft Certified Doing Nothing Expert

    • Помечено в качестве ответа Constantinoff 11 июля 2014 г. 4:14
    10 июля 2014 г. 7:17
  • День Добрый!

    Вот тут: Публикация Exchange 2010 – “сертификация” Алексей все очень подробно написал.


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    10 июля 2014 г. 7:20
  • Сертификат на клиентской машине получен как раз путём генерации самоподписанного сертификата в Exchange Management Shell . Потом скопирован и добавлен в доверенные корневые центры сертификации. 

    Подскажите, пожалуйста, как правильно создать самоподписанный сертификат для клиентов и экспортировать его. Спасибо.

    10 июля 2014 г. 7:40
  • Создавать самоподписанный сертификат для клиентского доступа (не для клиентов) не очень правильно, раз уж у вас есть PKI. В Exchange есть мастер создания запроса на сертификат.

    Microsoft Certified Doing Nothing Expert

    10 июля 2014 г. 8:18
  • Спасибо за ответы. Настройка работы MS Outlook для удалённой работы по Anywhere на домашнем компьютере прошла гладко. Проблема, по-видимому, на компьютере клиента.
    11 июля 2014 г. 4:16