Все команды выполняются в PowerShell
Обновление старого сертификата
Для получения всех сертификатов установленных на Exchange :
Get-ExchangeCertificate
Посмотреть срок действия сертификатов:
Get-ExchangeCertificate | fl IsSelfSigned,NotBefore,NotAfter,Services
для обновления старого сертификата:
Get-ExchangeCertificate -thumbprint номер сертификата - thumbprint | New-ExchangeCertificate -PrivateKeyExportable $true Confirm Перезаписать существующий сертификат SMTP по умолчанию "номер сертификата - thumbprint " (срок действия - 30.08.2012 11:34:56) сертификатом "новый номер сертификата - thumbprint " (срок действия - 28.08.2013 14:33:40)? [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): y Thumbprint Services Subject ---------- -------- ------- новый номер сертификата - thumbprint ..... CN=mailsrv
-PrivateKeyExportable $true делает сертификат экспортируемым.
Проверка свойств нового сертификата:
Get-ExchangeCertificate -thumbprint номер сертификата - thumbprint| fl
Если какие либо службы нужно добавить:
Enable-ExchangeCertificate -thumbprint номер сертификата - thumbprint -services IIS,IMAP,POP,SMTP
еще раз проверяем выпущенный сертификат, если все в порядке, то удаляем устаревший:
Remove-ExchangeCertificate -thumbprint "номер старого сертификата - thumbprint "
Для выпуска нового самоподписанного сертификата
New-ExchangeCertificate -DomainName exch.domain.local, owa.pubdomain.ru, mail.pubdomain.ru -Services "IMAP, POP, SMTP,IIS" -SubjectName "CN=owa.pubdomain.ru, O=YOUR COMPANY, DC=RU" -PrivateKeyExportable $true
Проверка свойств нового сертификата:
Get-ExchangeCertificate -thumbprint номер сертификата - thumbprint| fl
Если какие либо службы нужно добавить:
Enable-ExchangeCertificate -thumbprint номер сертификата - thumbprint -services IIS,IMAP,POP,SMTP
еще раз проверяем выпущенный сертификат, если все в порядке, то удаляем устаревший:
Remove-ExchangeCertificate -thumbprint "номер старого сертификата - thumbprint "
На что следует обратить внимание?
GenerateRequest — он сигнализирует о создании файла запроса на сертификат в сторонний центр сертификации. Без указания данного флага Exchange сервер сгенерирует самоподписанный сертификат.
SubjectName — поле CN должно в точности повторять FQDN к которому происходит обращение клиентов.
DomainName — должен содержать все альтернативные доменные имена, если таковы имеются. В моем случае пригодилось внутреннее имя сервера.
IncludeAutoDiscover — при наличии данного флага в запрос добавляются записи вида autodiscovery.domain.local для всех обслуживаемых доменов. Очень удобный параметр, не нужно в ручную перечислять данные записи.
PrivateKeyExportable — данный флаг позволит нам в дальнейшем экспортировать сертификат с закрытым ключем для передачи его на другие сервисы или для импорта в доверенные сертификаты в домене AD.