В большинстве организаций срок действия сертификата Exchange составляет 1 или 3 года, ведь это самый распространенный период. Если вы приучили себя при продлении какого-либо сертификата сразу же ставить напоминалку на год вперед о необходимости перевыпуска, то у вас будет все хорошо. Но для тех, кто этого не делает, все может закончиться «внезапным» окончанием срока действия сертификата и авральными работами по его продлению.
Как нельзя кстати под рукой может оказаться эта статья, в которой я подробно объясню как быстро сделать замену некогда действительному сертификату Exchange.
Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики — Exchange 2013 — Установка, настройка, администрирование.
Содержание
Вышел срок действия сертификата Exchange
Процесс перевыпуска или запроса новых сертификатов очень важен для организаций, ведь на SSL сейчас основаны практически все клиент-серверные приложения. Особенно нужно обращать на это внимание в том случае, если у вас внедрены одни и те же wildcard-сертификаты на множестве серверов.
Стоит отметить, что задачи, связанные с управлением сертификатами (для Exchange и не только), являются чуть ли не самыми разжеванными в интернете. Тем не менее, на форумах Technet вопросы с сертификатами стабильно лидируют по популярности. Именно поэтому я не прекращаю писать об этих темах статьи.
Как это бывает
Помимо проблем с несвоевременным продлением, вам может также встретиться ситуация с отзывом сертификата со стороны выпускающего центра. Это может случиться в том случае, если вы установили свеженький сертификат, а счет, который центр сертификации присылает позже, оплатить забыли. Это вполне возможно, ведь сертификат вы получаете практически сразу после прохождения всех проверок (проверка по домену или по организации или др.), а счет нужно оплатить уже постфактум.
Если вдруг вы нарвались на отзыв сертификата, то попасть даже в ECP у вас не получится. Вот что покажет браузер:
Как видите, кнопочки Продолжить открытие этого веб-сайта (не рекомендуется) тут нет, а следовательно придется поработать ручками в консоли.
Запрос сертификата
Есть несколько путей, чтобы выполнить процедуру генерации CSR-запроса. Самый простой из них — через оснастку Диспетчер служб IIS, который я рассматривал в статье Exchange Hybrid — Подготовка серверов федерации. В этой же статья я рассмотрю более «хардкорный» вариант, когда запрос надо сгенерировать из консоли EMS 1. Итак, сделать это можно командой как в примере ниже:
|
1 |
New-ExchangeCertificate -GenerateRequest -RequestFile '\\exch01\c$\tmp\cert_01\cert_01.req' -FriendlyName 'cert_01' -SubjectName 'CN=mail.domain.com' -DomainName autodiscover.domain.com,mail.domain.com |
Папка \\exch01\c$\tmp\cert_01\ должна существовать. После выполнения команды там будет лежать CSR-запрос cert_01.req. С его помощью вы сможете получить сертификат в локальном доменном ЦС, либо отправить его публичному ЦС.
Установка сертификата
Результатом отправки CSR-запроса в ЦС должно быть получение файла с расширением .crt (.cer) и возможно других (сертификаты промежуточных центров). Поместим этот файл (в моем случае он имеет имя certnew.cer) в папку \\exch01\c$\tmp\cert_01\. Далее необходимо завершить запрос на получение командой:
|
1 |
Import-ExchangeCertificate -FileName '\\exch01\c$\tmp\cert_01\certnew.cer' |
Посмотреть существующие сертификаты, доступные для использования сервером Exchange, можно командой:
|
1 |
Get-ExchangeCertificate | ft -AutoSize |
Запомните значение Thumbprint сертификата, для которого вы только что завершили запрос. Это нужно, чтобы назначить этот сертификат необходимым службам Exchange. Делается это командой:
|
1 |
Enable-ExchangeCertificate -Thumbprint BD75E1B8C3B4D7306152BA4DFBF13C5DE1EB5195 -Services POP,IMAP,IIS,SMTP |
Осталось только перезапустить IIS (можно это сделать через оснастку Службы, полное название IIS — Служба веб-публикаций (W3SVC)):
|
1 |
Restart-Service W3SVC |
Теперь снова можете пользоваться ECP. Если сертификат был получен у локального ЦС, то возможно придется раскидать его по каким-то клиентам вручную, либо через GPO (как это сделать, читайте в статье Сертификат Exchange 2013).
comments powered by HyperComments