Сертификат Exchange 2013 необходим для работы ряда сервисов, среди которых мобильный Outlook, Outlook Web App и другие. При установке почтового сервера по умолчанию создается самозаверенный сертификат, с помощью которого без труда можно решать большинство задач и даже использовать в продакшене. Тем не менее никто не мешает системному администратору использовать другие типы сертификатов. Можно установить локальный центр сертификации в домене, а можно и купить сертификат у доверенных сторонних центров сертификации. Решать вам. Все зависит от потребностей бизнеса, требований информационной безопасности и др.
Моя задача в данном конкретном случае стоит достаточно просто – обеспечить нормальную работу тестовой инфраструктуры. В этой статье я рассмотрю простой вариант достижения этой цели. Если легких путей вы не ищите, тогда предлагаю прочитать мою статью про получение сертификата от доверенного ЦС – Exchange 2013. Сертификат локального ЦС или обратиться к официальным источникам 1.
Эта статья является шестой и последней из цикла, в котором освещены вопросы обязательных задач по настройке сервера Exchange 2013 сразу после его установки. Если вам интересны другие задачи, рекомендую обратиться к головной статье по настройке – Настройка Exchange 2013 или основной статье тематики – Exchange 2013 — Установка, настройка, администрирование.
Содержание
Сертификат Exchange 2013
Начнем с описания проблемы.
Суть вопроса
До этого момента я обходился лишь самозаверенным сертификатом и его вполне достаточно для работы в Outlook Web App, если вас не раздражает каждый раз нажимать “Дополнительно”, чтобы проигнорировать предупреждение безопасности:
Тем не менее, некоторыми сервисами вы не сможете воспользоваться сразу, если у вас используется этот тип сертификата:
Такая ошибка у вас вылезет при первом запуске Outlook 2013. А дальше вы вообще потеряете соединение:
Итогом станет осознание факта, что без некоторых телодвижений получить нормально работающий Outlook 2013 не выйдет. Аналогичная информация есть 2 и в статье на Technet:
Exchange ActiveSync и Outlook Web App могут устанавливать подключения SSL с помощью самозаверяющего сертификата. Мобильный Outlook не сможет работать с самозаверяющим сертификатом на сервере клиентского доступа. Самозаверяющие сертификаты необходимо вручную копировать в доверенное корневое хранилище сертификатов на клиентском компьютере или мобильном устройстве.
В этой цитате уже есть и решение проблемы – нужно скопировать самозаверенный сертификат в доверенное корневое хранилище сертификатов на целевом устройстве. Этим и займемся, только сделаем все централизованно через групповые политики.
Пересоздание сертификата
Однако пока все не так-то и просто. Дело в том, что в текущем самозаверенном сертификате содержатся совсем не те имена, которые нам нужны. Это произошло потому, что до этого я изменил внутренние и внешние URL (подробнее в статье Внутренние и внешние URL Exchange 2013 на моем блоге) и по-хорошему надо бы пересоздать сертификат. Идем в ЕАС – EAC\серверы\сертификаты. Нажимаем Создать (значок +), проходим мастер по созданию сертификата.
Вам придется указать имена, которые этот сертификат будет содержать, но обычно Exchange 2013 самостоятельно подставляет все правильно и нужно только проверить. В любом случае все шаги вы сможете увидеть на скриншотах ниже:
Не забываем назначить новому сертификату службы. Для этого после создания нажмите Изменить (значок карандаша), далее пройдите в службы:
После этого необходимо сертификат, который использовался ранее, удалить, он в принципе больше не нужен.
Распространение через групповые политики
Следующим этапом будет экспорт сертификата с сервера Exchange 2013. Для этого запускаем консоль mmc через командную строку, нажимаем CTRL+M (добавить оснастку), выбираем Сертификаты, далее выбираем учетной записи компьютера. Находим нужный сертификат:
На сертификате нажимаем правой кнопкой – Все задачи\Экспорт. В мастере экспорта просто нажимаем всегда далее, вам надо указать лишь название файла и куда вы хотите его сохранить. Следующий шаг – нужно перетащить этот файл на контроллер домена для его добавления в групповую политику.
На контроллере домена открываем оснастку управления групповыми политиками – в командной строке вводим gpmc.msc. Выбираем контейнер, в котором у вас находятся учетные записи компьютеров, нажимаем правой кнопкой – создаем объект групповой политики:
Задаем имя политики и сразу как она отобразится в дереве слева, нажимаем правой кнопкой – Изменить.
Нужно пройти в Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики открытого ключа\Доверенные корневые центры сертификации. Нажимаем правой кнопкой – Импорт. Далее просто проходим мастер импорта ничего не меняя, нужно просто указать расположение ранее экспортированного файла (см. выше).
На целевом ПК обновляем групповую политику – gpupdate /force или просто перезагружаем его. В итоге получаем работающий Outlook и “спокойный” браузер:
Это очевидно, но все же хочу напомнить: это все будет работать автоматически только на доменных ПК и только если учетная запись этих компьютеров будет в контейнере, к которому применяется нужный объект групповой политики. Если пользователи будут ругаться на невозможность установки соединения, вам в любом случае придется импортировать им сертификат вручную. На этом все, сертификат Exchange 2013 создан и распространяется через групповые политики.
