Для некоторых служб, таких как мобильный Outlook, прямая миграция в Office 365 и Exchange ActiveSync, необходимо настроить сертификаты на сервере Exchange 2010. В этой статье объясняется, как настроить SSL-сертификат, выданный сторонним центром сертификации (ЦС). Some services, such as Outlook Anywhere, Cutover migration to Office 365, and Exchange ActiveSync, require certificates to be configured on your Exchange 2010 server. This article shows you how to configure an SSL certificate from a third-party certificate authority (CA).
Необходимые разрешения What permissions do you need?
Для добавления сертификатов вам должна быть назначена группа ролей Управление организацией в Exchange 2010. In order to add certificates, you need to be assigned the Organization Management role group on the Exchange 2010.
Задачи для добавления SSL-сертификата Tasks for adding an SSL certificate
Процесс добавления SSL-сертификата в Exchange 2010 состоит из трех этапов. Adding an SSL certificate to Exchange 2010 is a three step process.
Создание запроса на сертификат Create a certificate request
Отправка запроса в центр сертификации Submit the request to certificate authority
Импорт сертификата Import the certificate
Создание запроса на сертификат Create a certificate request
Чтобы создать запрос на сертификат, выполните следующие действия: To create a certificate request:
Откройте консоль управления Exchange. Open the Exchange Management Console (EMC).
Выберите сервер, на который хотите добавить сертификат. Select the server to which you want to add the certificate.
В области Действия выберите Создание сертификата Exchange. In the Actions pane, choose New Exchange Certificate.
В мастере Создание сертификата Exchange укажите имя сертификата и нажмите кнопку Далее. In the New Exchange certificate wizard, specify a name for this certificate, and then choose Next.
На странице "Область домена" в поле Корневой домен укажите корневой домен для всех дочерних доменов. Если вы собираетесь запрашивать групповой сертификат, выберите параметр Включить групповой сертификат. Если вы не запрашиваете групповой сертификат, то сможете указать на следующей странице каждый домен, который хотите добавить в сертификат. Нажмите кнопку Далее. In the Domain Scope page, specify the root domain for all subdomains in the Root domain field. If you want to request a wildcard, select Enable wildcard certificate. If you don’t want to request a wildcard certificate, you will specify each domain you want to add to the certificate on the next page. Choose Next.
На странице Конфигурация сервера Exchange для каждой службы из показанного списка проверьте правильность внешнего и внутреннего имен сервера, которые потребуются пользователям для подключения к серверу Exchange. Например: On the Exchange Configuration page for each service in the list shown, verify that the external or internal server names that users will use to connect to the Exchange server are correct. For example:
Если вы настроили внутренние и внешние URL-адреса одинаково, Outlook Web App (при доступе из Интернета) и Outlook Web App (при доступе из интрасети) должны показывать owa.contoso.com. If you configured your internal and external URLs to be the same, Outlook Web App (when accessed from the internet) and Outlook Web App (when accessed from the intranet) should show owa.contoso.com. Автономная адресная книга (OAB) (при доступе из Интернета) и АВТОНОМной адресной книге (при доступе из интрасети) должны показывать mail.contoso.com. Offline Address Book (OAB) (when accessed from the internet) and OAB (when accessed from the intranet) should show mail.contoso.com.
Если вы настроили внутренние URL-адреса internal.contoso.com, Outlook Web App (при доступе из Интернета) должен показывать owa.contoso.com, а Outlook Web App (при доступе из интрасети) должны показывать internal.contoso.com. If you configured the internal URLs to be internal.contoso.com, Outlook Web App (when accessed from the internet) should show owa.contoso.com, and Outlook Web App (when accessed from the intranet) should show internal.contoso.com.
Эти домены будут использоваться при создании запроса на SSL-сертификат. Нажмите кнопку Далее. These domains will be used to create the SSL certificate request. Choose Next.
На странице Домены сертификата добавьте все дополнительные домены, которые хотите включить в SSL-сертификат. On the Certificate Domains page, add any additional domains you want included on the SSL certificate.
Выберите домен, который должен быть общим именем для набора сертификатов > в качестве общего имени. Select the domain that you want to be the common name for the certificate > Set as common name. Например, contoso.com. For example, contoso.com. Нажмите кнопку Далее. Choose Next.
На странице Организация и местоположение укажите сведения о своей организации. Эти сведения будут включены в SSL-сертификат. On the Organization and Location page, provide information about your organization. This information will be included with the SSL certificate.
Укажите сетевое расположение, в котором нужно сохранить этот запрос на сертификат. Нажмите кнопку Далее. Specify the network location where you want this certificate request to be saved. Choose Next.
На странице Конфигурация сертификата просмотрите сводную информацию, выберите команду Создать, чтобы создать сертификат, а затем на странице Завершение нажмите кнопку Завершить. On the Certificate Configuration page, review the summary information, choose New to create the certificate, and then choose Finish on the Completion page.
Отправка запроса в центр сертификации Submit the request to certificate authority
После сохранения запроса на сертификат отправьте его в свой центр сертификации (ЦС). В зависимости от организации это может быть внутренний или сторонний ЦС. Клиенты, которые подключаются к серверу клиентского доступа, должны доверять используемому ЦС. На веб-сайте ЦС вы можете найти конкретные инструкции по отправке запроса. After you’ve saved the certificate request, submit the request to your certificate authority (CA). This can be an internal CA or a third-party CA, depending on your organization. Clients that connect to the Client Access server must trust the CA that you use. You can search the CA website for the specific steps for submitting your request.
Импорт сертификата Import the certificate
Получив сертификат от ЦС, выполните указанные ниже действия. After you receive the certificate from the CA, complete the following steps.
Чтобы импортировать запрос на сертификат, выполните следующие действия. To import the certificate request:
Откройте консоль управления Exchange. Open the EMC.
Выберите сервер, на который хотите импортировать сертификат. Select the server to which you want to import the certificate.
В области Сертификаты Exchange выберите ранее созданный запрос, а затем в области Действия выберите команду Выполнить ожидающий запрос. In the Exchange Certificates pane, select the request you created earlier, and in the Actions pane, choose Complete Pending Request.
On the Complete Pending Request page, specify the path to the SSL certificate file you received from your CA > Complete. On the Complete Pending Request page, specify the path to the SSL certificate file you received from your CA > Complete.
На странице Завершение нажмите кнопку Завершить. On the Completion page, choose Finish.
Чтобы назначить службы этому сертификату, на консоли управления Exchange выберите сервер Exchange, а затем на вкладке Сертификаты Exchange выберите сертификат. To assign services to this certificate, on the EMC, select the Exchange server, and then select the certificate in the Exchange Certificates tab.
В области Действия выберите Назначение служб сертификату. In the Actions pane, choose Assign Services to Certificate.
On the Select Servers page of the Assign Services to Certificate wizard, select the name of the server to which you’re adding the certificate > Next. On the Select Servers page of the Assign Services to Certificate wizard, select the name of the server to which you’re adding the certificate > Next.
На странице Выбор служб выберите службы, которые хотите назначить для этого сертификата. Как минимум следует выбрать SMTP и IIS. Нажмите кнопку Далее. On the Select Services page, select the services you want to assign to this certificate. At a minimum, you should select SMTP and IIS. Choose Next.
На странице Назначение служб выберите команду Назначить. On the Assign Services page, choose Assign.
Если появляется предупреждение Перезаписать существующий сертификат SMTP по умолчанию?, выберите Да > Готово. If you receive the warning Overwrite the existing default SMTP certificate?, choose Yes > Finish.
(Дорогу осилит идущий…)
Установка сертификата в Exchange 2010.
На днях обнаружил, что мой действующий сертификат на «чанге» уже просрочен, в этой связи есть ряд неприятных моментов, пришлось их устранить…
То, что видно юзерам, это при открытии OWA всплывает окошко, что данный сертификат не является доверенным, что некоторых раздражает, некоторых просто ставит в стопор при виде подобной надписи, но это только верхушка айсберга, при отсутствии валидного сертификата присутствует еще несколько красных событий в журналах…
Если у Вас нет центра сертификации в домене, то его нужно установить, он необходим и для ряда других сертификатов, не только для «чанги», но сейчас не об этом. В моем текущем случае «Центр сертификации» уже присутствует, при том установлен он на «железном» серваке на основном домен-контроллере…
Но для тех у кого нет, такового, заодно расскажу об установке…
1. Установка центра сертификации в домене
На сервере под управлением 2008 R2, например, на контроллере домена запускаем Server Manager (Диспетчер сервера) и добавляем роль (ссылкой Add Roles) «Active Directory Certificate Services»
Кнопка Next>
Кнопка Add Required Role Services
Отмечаем верхние 2 пункта (остальной по желанию)
Задаем срок действия сертификатов, выданных этим центром сертификации
2. Настройка центра сертификации
По умолчанию центр сертификации генерирует сертификаты, которые обслуживают только по одному имени субъекта. Т.е. для каждого имени нужно генерировать отдельный сертификат. Чтобы разрешить выпуск сертификатов с несколькими альтернативными именами субъектов, необходимо на сервере с ролью Центра сертификации выполнить команду:
certutil -setreg policyEditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc & net start sertsvc
3. Запрос сертификата для сервера Exchange 2010
В консоли управления Exchange Server 2010: Server Configuration – правый клик на имени сервера (либо в правой нижней области) – New Exchange Certificate
Вводим понятное имя создаваемого сертификата (можно кириллицей), например, «Доменный сертификат Exchange», кнопка Next.
Страницу Domain Scope (Область домена) пропускаем. Дальше интересное:
На странице Exchange Configuration (Конфигурация сервера Exchange) разворачиваем узел Client Access server (Outlook Web App)
и устанавливаем оба флажка:
— Outlook Web App is on the Intranet
— Outlook Web App is on the Internet
Проверяем, чтобы во втором поле было указано корректное имя, на которое ссылается MX запись для вашего домена на внешних DNS серверах.
Разворачиваем узел Client Access server (Exchange ActiveSync). Должен быть установленфлажок Exchange Active Sync is enabled
Разворачиваем Client Access server (Web Services, Outlook Anywhere, and Autodiscover) и вводим тоже имя для внешнего узла. Также должен быть установлен флажок Autodiscover used on the Internet и выбран параметр Long URL (Example: autodiscovet.contoso.com). В поле Autodiscovet URL to use:оставляем только autodiscover. . КнопкаNext.
На странице Certificate Domains нажимаем кнопку Next
Заполняем страницу Organization and Location (можно кириллицей)
Нажимаем кнопку Browse, задаем имя файла (например, CertRequest) и сохраняем его. Завершаем создание сертификата.
4. Получение сертификата из центра сертификации
Находим только что сохраненный файл CertRequest.req и открываем его в Блокноте. Ctrl+A, Ctrl+C (сохраняем содержимое файла в буфер обмена) и закрываем Блокнот.
На своем ПК (на клиентском ПК администратора) запускаем IE и вводим адрес http://dc01/certsrv, где dc01 – имя сервера (в моем случае контроллера), на котором установлен центр сертификации. В списке задач нажимаем ссылку Request a certificate (Запросить сертификат) и на следующей странице advanced certificate request (Расширенный запрос сертификата). Выбираемсамыйдлинныйпункт Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. На следующей странице ставим курсор в поле SavedRequest: и нажимаем Ctrl+V. Т.е. вставляем содержимое файла CertRequest.req
В списке CertificateTemplate выбираем Web Server и нажимаем кнопку Submit, затем ОК.
Щелкаем по ссылке Загрузить сертификат и сохраняем его на диске (например, под именем certnew.cer). После загрузки открываем его и проверяем, что на вкладке Details есть пунктSubject Alternative Name, который содержит несколько дополнительных имен.
5. Импорт и назначение сертификата
В консоли управления Exchange Server 2010: Server Configuration – выбираем свой сервер Exchange и в правой нижней области правый клик по вновь созданному пункту «Доменный сертификат Exchange» – Complete Pending Request (Выполнить ожидающий запрос).
На странице Complete Pending Request нажимаем кнопку Browse, находим на диске сертификат certnew.cer, загруженный из центра сертификации и импортируем его сюда.
Снова делаем правый клик по «Доменный сертификат Exchange» и выбираем пункт Assign Services to Certificate (Назначение служб сертификату). На сранице выбора серверов в списке должен быть указан наш сервер, для которого назначается сертификат. На странице Select Services (Выбор служб) устанавливаем флажок IIS (можно поставить еще IMAP и SMTP).
Далее, назначить, готово.
В домене сертификат распространится автоматически вместе с обновлением групповых политик. Для немедленного тестирования можно на клиенте выполнить команду
gpupdate /force
На компьютерах, не входящих в домен можно импортировать сертификат. Причем, желательно импортировать не конкретный сертификат службы, а сразу взять сертификат нашего центра сертификации, чтобы в следующий раз не нужно было делать это повторно. Для этого снова обращаемся к веб-интерфейсу центра сертификации в браузере: http://dc01/certsrv/
Выбираемнижнийпункт Download a CA certificate, certificate chain, or CRL. Методкодированияоставляем DER. Переходимпоссылке Download CA certificate chain. И сохраняем файл с расширением .p7b. Передаем этот файл клиенту. На клиенте правый клик по файлу сертификата, выбираем пункт Установить сертификат, переводим переключатель в положение Поместить все сертификаты в следующее хранилище, Обзор, Доверенные корневые центры сертификации, ОК, Далее и т.д.
После этих манипуляций при подключении к OWA в браузере уже не должно появляться пугающих предупреждений вроде этого:
По аналогии можно сгенерировать сертификаты для различных сервисов и серверов использующих протокол https (TMG2010 если есть, portal и т. д.). Но это уже совсем другая история.
При подключении к почте Exchange 2010 через веб-интерфейс (OWA) пользователи могут видеть сообщение об ошибке сертификата, которое их зачастую пугает либо вообще создает непонимание того, что происходит. Многое пользователи при этом обращаются в свою службу техподдержки, сообщая, что-то вроде следующего:
— У меня в эксплоере белая страница
— У меня почта не работает
— У меня интернет не работает
— У меня ничего не работает.
Чтобы избежать затрат времени на диагностику проблемы и снизить уровень негатива в адрес IT-подразделения компании можно настроить сертификацию и закрыть этот вопрос.
1. Установка центра сертификации в домене
На сервере под управлением 2008 R2, например, на контроллере домена запускаем Server Manager (Диспетчер сервера) и добавляем роль (ссылкой Add Roles) «Active Directory Certificate Services»
Кнопка Add Required Role Services
Отмечаем верхние 2 пункта (остальной по желанию)
Задаем срок действия сертификатов, выданных этим центром сертификации
2. Настройка центра сертификации
По умолчанию центр сертификации генерирует сертификаты, которые обслуживают только по одному имени субъекта. Т.е. для каждого имени нужно генерировать отдельный сертификат. Чтобы разрешить выпуск сертификатов с несколькими альтернативными именами субъектов, необходимо на сервере с ролью Центра сертификации выполнить команду:
и перезапустить службы сертификации:
3. Запрос сертификата для сервера Exchange 2010
В консоли управления Exchange Server 2010: Server Configuration – правый клик на имени сервера (либо в правой нижней области) – New Exchange Certificate
Вводим понятное имя создаваемого сертификата (можно кириллицей), например, «Доменный сертификат Exchange», кнопка Next.
Страницу Domain Scope (Область домена) пропускаем. Дальше интересное:
На странице Exchange Configuration (Конфигурация сервера Exchange) разворачиваем узел Client Access server (Outlook Web App)
и устанавливаем оба флажка:
— Outlook Web App is on the Intranet
— Outlook Web App is on the Internet
Проверяем, чтобы во втором поле было указано корректное имя, на которое ссылается MX запись для вашего домена на внешних DNS серверах.
Разворачиваем узел Client Access server (Exchange ActiveSync). Должен быть установлен флажок Exchange Active Sync is enabled
Разворачиваем Client Access server (Web Services, Outlook Anywhere, and Autodiscover) и вводим то же имя для внешнего узла. Также должен быть установлен флажок Autodiscover used on the Internet и выбран параметр Long URL (Example: autodiscovet.contoso.com). В поле Autodiscovet URL to use: оставляем только autodiscover. . Кнопка Next.
На странице Certificate Domains нажимаем кнопку Next
Заполняем страницу Organization and Location (можно кириллицей)
Нажимаем кнопку Browse, задаем имя файла (например, CertRequest) и сохраняем его. Завершаем создание сертификата
4. Получение сертификата из центра сертификации
Находим только что сохраненный файл CertRequest.req и открываем его в Блокноте. Ctrl+A, Ctrl+C (сохраняем содержимое файла в буфер обмена) и закрываем Блокнот.
На своем ПК (на клиентском ПК администратора) запускаем IE и вводим адрес http://dc01/certsrv, где dc01 – имя сервера, на котором установлен центр сертификации. В списке задач нажимаем ссылку Request a certificate (Запросить сертификат) и на следующей странице advanced certificate request (Расширенный запрос сертификата). Выбираем самый длинный пункт Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. На следующей странице ставим курсор в поле SavedRequest: и нажимаем Ctrl+V. Т.е. вставляем содержимое файла CertRequest.req
В списке CertificateTemplateвыбираем Web Server и нажимаем кнопку Submit, затем ОК.
Щелкаем по ссылке Загрузить сертификат и сохраняем его на диске (например, под именем certnew.cer). После загрузки открываем его и проверяем, что на вкладке Details есть пункт Subject Alternative Name, который содержит несколько дополнительных имен.
5. Импорт и назначение сертификата
В консоли управления Exchange Server 2010: Server Configuration – выбираем свой сервер Exchange и в правой нижней области правый клик по вновь созданному пункту «Доменный сертификат Exchange» – Complete Pending Request (Выполнить ожидающий запрос).
На странице Complete Pending Request нажимаем кнопку Browse, находим на диске сертификат certnew.cer, загруженный из центра сертификации и импортируем его сюда.
Снова делаем правый клик по «Доменный сертификат Exchange» и выбираем пункт Assign Services to Certificate (Назначение служб сертификату). На сранице выбора серверов в списке должен быть указан наш сервер, для которого назначается сертификат. На странице Select Services (Выбор служб) устанавливаем флажок IIS
Далее, назначить, готово.
6. Распространение сертификата
В домене сертификат распространится автоматически вместе с обновлением групповых политик. Для немедленного тестирования можно на клиенте выполнить команду
На компьютерах, не входящих в домен можно импортировать сертификат. Причем, желательно импортировать не конкретный сертификат службы, а сразу взять сертификат нашего центра сертификации, чтобы в следующий раз не нужно было делать это повторно. Для этого снова обращаемся к веб-интерфейсу центра сертификации в браузере: http://dc01/certsrv/
Выбираем нижний пункт Download a CA certificate, certificate chain, or CRL. Метод кодирования оставляем DER. Переходим по ссылке Download CA certificate chain. И сохраняем файл с расширением .p7b. Передаем этот файл клиенту. На клиенте правый клик по файлу сертификата, выбираем пункт Установить сертификат, переводим переключатель в положение Поместить все сертификаты в следующее хранилище, Обзор, Доверенные корневые центры сертификации, ОК, Далее и т.д.
После этих манипуляций при подключении к OWA в браузере уже не должно появляться пугающих предупреждений вроде этого:
