none
Сертификат Exchange RRS feed

  • Вопрос

  • Конфигурация такова : 2-MDB + 2-MDB + 3-OWA + 3-EDGE + 2-WAP

    Сервер на основе EX2013 (Без SP1) разворачивался ещё 2012 году и на данный момент EX2013CU16

    Внутри организации используются для служб IIS,SMTP,IMAP,POP сертификаты от внутреннего ЦС (Это на CAS)

    На всех MDB, даже на 2-х недавно поднятых (для разнесения баз Внутр - Внеш пользователей) присутствует сертификат Microsoft Exchange Server Auth Certificate (Это самоподписной самого Exch) со сроком до 13.01.2018, данный сертификат насзанечн службе SMTP и присутствует на всех серверах (Включая даже S4B). Как продлить данный сертификат ? (Рис1)

    На тесте (2-(MDB+CAS)) я попытался продлить данный сертификат в результате он был продлён до 2022, продлился он автоматом и на втором сервере (MDB+CAS), но у них стали разные отпечатки. Я конечно понимаю что зарытый ключ не должен передаваться, но во время установки он как-то переезжает. И вообще он нужен ? (Почта на тесте работает без нареканий, DAG отрабатывает без проблем (На тесте также используется публичный сертификат и сертификат от тестового доменного ЦС)).

    Само продление данного сертификата выглядит вот так вот : Рис 2

    27 декабря 2017 г. 12:13

Ответы

  • На Exchange ? (Там вроди как и не много, хотя если речь идёт о пересоздании всех дов. отношений то это и не мелочь)

    Две команды как по мне мелочь ввести.

    https://technet.microsoft.com/library/jj688055.aspx

    но на данный момент хотелось бы понять где вылезет проблема и как ёё решать или предупредить ?

    Вся интеграция сводится к возможности использовать в OWA статус присутствия и мгновенные сообщения.

    Не факт, что вообще это у Вас

    а) настроено сейчас б) используется в) критический сервис.

    • Помечено в качестве ответа Andrew.Vasilchenko 28 декабря 2017 г. 5:04
    27 декабря 2017 г. 18:43

Все ответы

  • На всех MDB, даже на 2-х недавно поднятых (для разнесения баз Внутр - Внеш пользователей) присутствует сертификат Microsoft Exchange Server Auth Certificate(Это самоподписной самого Exch) со сроком до 13.01.2018, данный сертификат насзанечн службе SMTP и присутствует на всех серверах (Включая даже S4B). Как продлить данный сертификат ? (Рис1)

    А зачем это нужно делать? Пес с ним, он же самоподписанный.

    При поднятии нового сервера тот его сам себе выписывает.

    Пойдите в консольку IISа и выпишите себе новый. Толку правда от такой операции нет никакого, ибо возвращаемся к первому предложению.

    Я конечно понимаю что зарытый ключ не должен передаваться, но во время установки он как-то переезжает.

    Каждый сервер генерирует его себе сам, никуда ключ с сервера не переезжает при этом.

    А нужен он для Oauth, т.е. сценария например интергации OWA и Lync, для межсерверной аутентификации.

    Почаще нужно ходить в библиотеку.

    27 декабря 2017 г. 13:21
  • При поднятии нового сервера для Exch он его не выписывает, а импортирует во время настройки.

    И подтверждается это тем что что серийный номер и отпечаток на всех серверах CAS+MDB+S4B одинаковые (это один и сертификат, 2012 года хотя 2-а новых ДБ было подняты 2-е недели назад).

    При продлении меняется серийный номер и отпечаток, только вот на каждом сервере он разный и вот вопрос чем это будет черевато потому как я использую связку OWA+S4B.

    27 декабря 2017 г. 14:24
  • При поднятии генерируется один, а импортируется другой. 

    А чревато будет тем, что придется перенастроить конфигурацию для использования нового отпечатка.

    В конфигурации же будет старый прописан.

    Серийный номер просто техническое поле, ни на что не влияющее.

    27 декабря 2017 г. 14:28
  • Ну серийный номер это понятно. Вот про прописывание отпечатка это уже другое и что значит перенастройка конфигурации ?

    На Exchange ? (Там вроди как и не много, хотя если речь идёт о пересоздании всех дов. отношений то это и не мелочь)

    На S4B ? (Привязка сертификатов? Там этот в общем и не используется (на RP-WAP или EDGE уж точно), если пересоздание пулов то во общем-то не проблема) Где хоть примерно ?

    Всё ранее настраивал сам и с 0, но на данный момент хотелось бы понять где вылезет проблема и как ёё решать или предупредить ? (Если была практика то подскажите (если возможно) ! )

    27 декабря 2017 г. 18:20
  • На Exchange ? (Там вроди как и не много, хотя если речь идёт о пересоздании всех дов. отношений то это и не мелочь)

    Две команды как по мне мелочь ввести.

    https://technet.microsoft.com/library/jj688055.aspx

    но на данный момент хотелось бы понять где вылезет проблема и как ёё решать или предупредить ?

    Вся интеграция сводится к возможности использовать в OWA статус присутствия и мгновенные сообщения.

    Не факт, что вообще это у Вас

    а) настроено сейчас б) используется в) критический сервис.

    • Помечено в качестве ответа Andrew.Vasilchenko 28 декабря 2017 г. 5:04
    27 декабря 2017 г. 18:43
  • Используется и в общем-то актуальный сервис для внешних пользователей в почте (Ещё используется и Shp).

    Хотя данный сертификат у меня не используется для связки OWA+S4B и даже по мануалам MS  его не используют для связки (Если я правильно понял речь от том что дописывается в web.config owa).

    Если это единственный вариант проблемы то не проблема.

    Спасибо за информацию.

    27 декабря 2017 г. 19:12
  • Дописывается. Именно поэтому я и усомнился, что вообще используете эти возможности. Надо кончиги же еще править после каждого СU, что не есть удобно. В 2016 уже не нужно этот шаг делать, к слову.

    Не за что, приходите еще.

    27 декабря 2017 г. 19:17
  • Ошибка таки полезла !

    Unable to find the certificate with thumbprint EE062CAA18FA961AC21C2C540147FFF8374034D5 in the current computer or the certificate is missing private key. The certificate is needed to sign the outgoing token.

    Правда и решение простое

    Я так понимаю это относится к связке с S4B !

    11 января 2018 г. 5:47
  • Да, относится.
    11 января 2018 г. 6:55