Вышел срок действия сертификата Exchange

В большинстве организаций срок действия сертификата Exchange составляет 1 или 3 года, ведь это самый распространенный период. Если вы приучили себя при продлении какого-либо сертификата сразу же ставить напоминалку на год вперед о необходимости перевыпуска, то у вас будет все хорошо. Но для тех, кто этого не делает, все может закончиться “внезапным” окончанием срока действия сертификата и авральными работами по его продлению.

Как нельзя кстати под рукой может оказаться эта статья, в которой я подробно объясню как быстро сделать замену некогда действительному сертификату Exchange.

---

Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики – Exchange 2013 — Установка, настройка, администрирование.

---

Вышел срок действия сертификата Exchange

Процесс перевыпуска или запроса новых сертификатов очень важен для организаций, ведь на SSL сейчас основаны практически все клиент-серверные приложения. Особенно нужно обращать на это внимание в том случае, если у вас внедрены одни и те же wildcard-сертификаты на множестве серверов.

Стоит отметить, что задачи, связанные с управлением сертификатами (для Exchange и не только), являются чуть ли не самыми разжеванными в интернете. Тем не менее, на форумах Technet вопросы с сертификатами стабильно лидируют по популярности. Именно поэтому я не прекращаю писать об этих темах статьи.

Как это бывает

Помимо проблем с несвоевременным продлением, вам может также встретиться ситуация с отзывом сертификата со стороны выпускающего центра. Это может случиться в том случае, если вы установили свеженький сертификат, а счет, который центр сертификации присылает позже, оплатить забыли. Это вполне возможно, ведь сертификат вы получаете практически сразу после прохождения всех проверок (проверка по домену или по организации или др.), а счет нужно оплатить уже постфактум.

Если вдруг вы нарвались на отзыв сертификата, то попасть даже в ECP у вас не получится. Вот что покажет браузер:

Как видите, кнопочки Продолжить открытие этого веб-сайта (не рекомендуется) тут нет, а следовательно придется поработать ручками в консоли.

Запрос сертификата

Есть несколько путей, чтобы выполнить процедуру генерации CSR-запроса. Самый простой из них – через оснастку Диспетчер служб IIS, который я рассматривал в статье Exchange Hybrid — Подготовка серверов федерации. В этой же статья я рассмотрю более “хардкорный” вариант, когда запрос надо сгенерировать из консоли EMS ¹. Итак, сделать это можно командой как в примере ниже:

Папка \\exch01\c$\tmp\cert_01\ должна существовать. После выполнения команды там будет лежать CSR-запрос cert_01.req. С его помощью вы сможете получить сертификат в локальном доменном ЦС, либо отправить его публичному ЦС.

Установка сертификата

Результатом отправки CSR-запроса в ЦС должно быть получение файла с расширением .crt (.cer) и возможно других (сертификаты промежуточных центров). Поместим этот файл (в моем случае он имеет имя certnew.cer) в папку \\exch01\c$\tmp\cert_01\. Далее необходимо завершить запрос на получение командой:

Посмотреть существующие сертификаты, доступные для использования сервером Exchange, можно командой:

Запомните значение Thumbprint сертификата, для которого вы только что завершили запрос. Это нужно, чтобы назначить этот сертификат необходимым службам Exchange. Делается это командой:

Осталось только перезапустить IIS (можно это сделать через оснастку Службы, полное название IIS – Служба веб-публикаций (W3SVC)):

Теперь снова можете пользоваться ECP. Если сертификат был получен у локального ЦС, то возможно придется раскидать его по каким-то клиентам вручную, либо через GPO (как это сделать, читайте в статье Сертификат Exchange 2013).