Выпуск самоподписанного сертификата Exchange 2007

Все команды выполняются в PowerShell

Обновление старого сертификата

Для получения всех сертификатов установленных на Exchange :

Get-ExchangeCertificate

Посмотреть срок действия сертификатов:

Get-ExchangeCertificate | fl IsSelfSigned,NotBefore,NotAfter,Services

для обновления старого сертификата:

Get-ExchangeCertificate -thumbprint номер сертификата - thumbprint | New-ExchangeCertificate -PrivateKeyExportable $true
Confirm
Перезаписать существующий сертификат SMTP по умолчанию "номер сертификата - thumbprint " (срок действия - 30.08.2012 11:34:56) сертификатом "новый номер сертификата - thumbprint " (срок действия - 28.08.2013 14:33:40)?
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): y
Thumbprint Services Subject
---------- -------- -------
новый номер сертификата - thumbprint ..... CN=mailsrv

-PrivateKeyExportable $true делает сертификат экспортируемым.

Проверка свойств нового сертификата:

Get-ExchangeCertificate -thumbprint номер сертификата - thumbprint| fl

Если какие либо службы нужно добавить:

Enable-ExchangeCertificate -thumbprint номер сертификата - thumbprint -services IIS,IMAP,POP,SMTP

еще раз проверяем выпущенный сертификат, если все в порядке, то удаляем устаревший:

Remove-ExchangeCertificate -thumbprint "номер старого сертификата - thumbprint "

 

Для выпуска нового самоподписанного  сертификата

New-ExchangeCertificate -DomainName exch.domain.local, owa.pubdomain.ru, mail.pubdomain.ru
-Services "IMAP, POP, SMTP,IIS"
-SubjectName "CN=owa.pubdomain.ru, O=YOUR COMPANY, DC=RU"
-PrivateKeyExportable $true

Проверка свойств нового сертификата:

Get-ExchangeCertificate -thumbprint номер сертификата - thumbprint| fl

Если какие либо службы нужно добавить:

Enable-ExchangeCertificate -thumbprint номер сертификата - thumbprint -services IIS,IMAP,POP,SMTP

еще раз проверяем выпущенный сертификат, если все в порядке, то удаляем устаревший:

Remove-ExchangeCertificate -thumbprint "номер старого сертификата - thumbprint "

 

На что следует обратить внимание?

GenerateRequest — он сигнализирует о создании файла запроса на сертификат в сторонний центр сертификации. Без указания данного флага Exchange сервер сгенерирует самоподписанный сертификат.

SubjectName — поле CN должно в точности повторять FQDN к которому происходит обращение клиентов.

DomainName — должен содержать все альтернативные доменные имена, если таковы имеются. В моем случае пригодилось внутреннее имя сервера.

IncludeAutoDiscover — при наличии данного флага в запрос добавляются записи вида autodiscovery.domain.local для всех обслуживаемых доменов. Очень удобный параметр, не нужно в ручную перечислять данные записи.

PrivateKeyExportable — данный флаг позволит нам в дальнейшем экспортировать сертификат с закрытым ключем для передачи его на другие сервисы или для импорта в доверенные сертификаты в домене AD.

 

 

 

 

Обновлено: 12.08.2018 — 09:35

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Капча загружается...

© 2018 FIL